精华内容
下载资源
问答
  • tshark

    2013-01-23 09:20:21
    tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri" 记录查看本机连接外网的网址
    tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"
    


    记录查看本机连接外网的网址
    展开全文
  • tshark.exe

    2021-02-24 21:21:13
    wireshark的tshark
  • Tshark question

    2021-01-01 01:17:08
    <div><p>I was trying tshark and I see this. Is this something that can stop me. <p>tshark: Couldn't load plugin 'usbdump.so': dlopen failed: cannot locate symbol "wtap_register_open_...
  • tshark详解

    千次阅读 2019-06-28 13:58:20
    目录 tshark详解1. Wireshark命令行工具tshark使用小记1.1. 1、目的1.2. 2、首先我们先来看一下网上的一些例子,我对这些例子进行了整理,并给出了说明。1.3. 3、选项介绍1.4. 4、部分命令测试1.5. 5、参考文献 ...

    tshark详解

    1. Wireshark命令行工具tshark使用小记

    1.1. 1、目的

      写这篇博客的目的主要是为了方便查阅,使用wireshark可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析;但我的需求是,怎么样把Data部分导出来,因为后续的工作主要针对数据包的Data部分,主要是对本地存储的.pcap文件进行解析。这时候就会使用到tshark命令行工具,可以通过命令提取自己想要的数据,可以重定向到文件,也可以结合上层语言比如Java,来调用命令行,实现对数据的处理!

      下面我会从 相关实例、选项介绍、部分实例运行结果 进行概括!

    1.2. 2、首先我们先来看一下网上的一些例子,我对这些例子进行了整理,并给出了说明。

    //打印http协议流相关信息
    tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '\t'
      注释:
        -s: 只抓取前512字节;
        -i: 捕获eth0网卡;
        -n: 禁止网络对象名称解析;
        -f: 只捕获协议为tcp,目的端口为80;
        -R: 过滤出http.host和http.request.uri;
        -T,-e: 指的是打印这两个字段;
        -I: 输出到命令行界面; 
    //实时打印当前mysql查询语句
    tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
       注释:
        -R: 过滤出mysql的查询语句;
    //导出smpp协议header和value的例子
    tshark -r test.cap -R '(smpp.command_id==0x80000004) and (smpp.command_status==0x0)' -e smpp.message_id -e frame.time -T fields -E header=y >test.txt
       注释:
        -r: 读取本地文件,可以先抓包存下来之后再进行分析;
        -R: smpp...可以在wireshark的过滤表达式里面找到,后面会详细介绍;
        -E: 当-T字段指定时,设置输出选项,header=y意思是头部要打印;
        -e: 当-T字段指定时,设置输出哪些字段;
         >: 重定向;
    //统计http状态
    tshark -n -q -z http,stat, -z http,tree
       注释:
        -q: 只在结束捕获时输出数据,针对于统计类的命令非常有用;
        -z: 各类统计选项,具体的参考文档,后面会介绍,可以使用tshark -z help命令来查看所有支持的字段;
           http,stat: 计算HTTP统计信息,显示的值是HTTP状态代码和HTTP请求方法。
           http,tree: 计算HTTP包分布。 显示的值是HTTP请求模式和HTTP状态代码。
    //抓取500个包提取访问的网址打印出来
    tshark -s 0 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l -c 500
       注释: 
        -f: 抓包前过滤;
        -R: 抓包后过滤;
        -l: 在打印结果之前清空缓存;
        -c: 在抓500个包之后结束;
    //显示ssl data数据
    tshark -n -t a -R ssl -T fields -e "ip.src" -e "ssl.app_data"
    
    //读取指定报文,按照ssl过滤显示内容
    tshark -r temp.cap -R "ssl" -V -T text
      注释: 
        -T text: 格式化输出,默认就是text;
        -V: 增加包的输出;//-q 过滤tcp流13,获取data内容
    tshark -r temp.cap -z "follow,tcp,ascii,13"
    
    //按照指定格式显示-e
    tshark -r temp.cap -R ssl -Tfields -e "ip.src" -e tcp.srcport -e ip.dst -e tcp.dstport
    
    //输出数据
    tshark -r vmx.cap -q -n -t ad -z follow,tcp,ascii,10.1.8.130:56087,10.195.4.41:446 | more
      注释:
        -t ad: 输出格式化时间戳;
    //过滤包的时间和rtp.seq
    tshark  -i eth0 -f "udp port 5004"  -T fields -e frame.time_epoch -e rtp.seq -o rtp.heuristic_rtp:true 1>test.txt
      注释:
        -o: 覆盖属性文件设置的一些值;
    
    //提取各协议数据部分
    tshark -r H:/httpsession.pcap -q -n -t ad -z follow,tcp,ascii,71.6.167.142:27017,101.201.42.120:59381 | more
    
    复制代码
    图:复制代码

    上面的例子已经涵盖了大部分的选项,下面我针对每一个选项进行简要解释,并给出这个选项常用的值;

    1.3. 3、选项介绍

      在命令行下可以使用tshark -help得到选项的简单介绍,具体的需要查阅官方文档https://www.wireshark.org/docs/man-pages/tshark.html

    捕获接口:
      -i: -i <interface> 指定捕获接口,默认是第一个非本地循环接口;
      -f: -f <capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。
      -s: -s <snaplen> 设置快照长度,用来读取完整的数据包,因为网络中传输有65535的限制,值0代表快照长度65535,默认也是这个值;
      -p: 以非混合模式工作,即只关心和本机有关的流量。
      -B: -B <buffer size> 设置缓冲区的大小,只对windows生效,默认是2M;
      -y: -y<link type> 设置抓包的数据链路层协议,不设置则默认为-L找到的第一个协议,局域网一般是EN10MB等;
      -D: 打印接口的列表并退出;
      -L 列出本机支持的数据链路层协议,供-y参数使用。
    
    捕获停止选项:
      -c: -c <packet count> 捕获n个包之后结束,默认捕获无限个;
      -a: -a <autostop cond.> ... duration:NUM,在num秒之后停止捕获;
                       filesize:NUM,在numKB之后停止捕获;
                        files:NUM,在捕获num个文件之后停止捕获;
    捕获输出选项:
      -b <ringbuffer opt.> ... ring buffer的文件名由-w参数决定,-b参数采用test:value的形式书写;
                     duration:NUM - 在NUM秒之后切换到下一个文件;
                     filesize:NUM - 在NUM KB之后切换到下一个文件;
                     files:NUM - 形成环形缓冲,在NUM文件达到之后;
    
    RPCAP选项:
      remote packet capture protocol,远程抓包协议进行抓包;
      -A:  -A <user>:<password>,使用RPCAP密码进行认证;
    
    输入文件:
      -r: -r <infile> 设置读取本地文件
    
    处理选项:
      -2: 执行两次分析
      -R: -R <read filter>,包的读取过滤器,可以在wireshark的filter语法上查看;在wireshark的视图->过滤器视图,在这一栏点击表达式,就会列出来对所有协议的支持。
      -Y: -Y <display filter>,使用读取过滤器的语法,在单次分析中可以代替-R选项;
      -n: 禁止所有地址名字解析(默认为允许所有)
      -N: 启用某一层的地址名字解析。“m”代表MAC层,“n”代表网络层,“t”代表传输层,“C”代表当前异步DNS查找。如果-n和-N参数同时存在,-n将被忽略。如果-n和-N参数都不写,则默认打开所有地址名字解析。
      -d: 将指定的数据按有关协议解包输出,如要将tcp 8888端口的流量按http解包,应该写为“-d tcp.port==8888,http”;tshark -d. 可以列出所有支持的有效选择器。
      
    输出选项:
      -w: -w <outfile|-> 设置raw数据的输出文件。这个参数不设置,tshark将会把解码结果输出到stdout,“-w -”表示把raw输出到stdout。如果要把解码结果输出到文件,使用重定向“>”而不要-w参数。
      -F: -F <output file type>,设置输出的文件格式,默认是.pcapng,使用tshark -F可列出所有支持的输出文件类型。
      -V: 增加细节输出;
      -O: -O <protocols>,只显示此选项指定的协议的详细信息。
      -P: 即使将解码结果写入文件中,也打印包的概要信息;
      -S: -S <separator> 行分割符
      -x: 设置在解码输出结果中,每个packet后面以HEX dump的方式显示具体数据。
      -T: -T pdml|ps|text|fields|psml,设置解码结果输出的格式,包括text,ps,psml和pdml,默认为text
      -e: 如果-T fields选项指定,-e用来指定输出哪些字段;
      -E: -E <fieldsoption>=<value>如果-T fields选项指定,使用-E来设置一些属性,比如
        header=y|n
        separator=/t|/s|<char>
        occurrence=f|l|a
        aggregator=,|/s|<char>
      -t: -t a|ad|d|dd|e|r|u|ud 设置解码结果的时间格式。“ad”表示带日期的绝对时间,“a”表示不带日期的绝对时间,“r”表示从第一个包到现在的相对时间,“d”表示两个相邻包之间的增量时间(delta)。
      -u: s|hms 格式化输出秒;
      -l: 在输出每个包之后flush标准输出
      -q: 结合-z选项进行使用,来进行统计分析;
      -X: <key>:<value> 扩展项,lua_script、read_format,具体参见 man pages;
      -z:统计选项,具体的参考文档;tshark -z help,可以列出,-z选项支持的统计方式。
      
    其他选项:
      -h: 显示命令行帮助;
      -v: 显示tshark 的版本信息;
    

    1.4. 4、部分命令测试

      在第三节我简要介绍了tshark相关的命令,在这一节我们主要测试几个选项的输出结果,来对命令加深理解。对于第三节的命令选项,比较重要的已经用蓝色标出,方便查阅。

      使用tshark对数据包进行分析,主要是对过滤器的学习,根据自己的需求写出响应的过滤器,来得到相应的数据。

      针对于我的需求,先抓包在分析,还想将命令行整合进java语言中,然后进行面向对象的分析,那么就需要一些特别的命令来获取一些数据:

    //1. 示例1,分析报文封装的协议
      C:\Users\sdut>tshark -r H:\httpsession.pcap -T fields -e frame.number -e frame.protocols -E header=y
      --输出  
      frame.number    frame.protocols
      1       eth:ethertype:ip:tcp
      2       eth:ethertype:ip:tcp
      3       eth:ethertype:ip:tcp
      4       eth:ethertype:ip:tcp:http
      5       eth:ethertype:ip:tcp
      6       eth:ethertype:ip:tcp:http:data-text-lines
      7       eth:ethertype:ip:tcp
      8       eth:ethertype:ip:tcp
      9       eth:ethertype:ip:tcp
      -e frame.number:显示帧序号
      -e frame.time: 显示时间,时间格式为 Sep 21, 2016 17:20:02.233249000 中国标准时间 
      -e frame.protocols: 显示此数据包使用的协议
      -e ip.src: 显示源ip,但是不能跟frame一起用
      -e ip.dst: 显示目的ip地址;
      -e tcp.port: 显示端口号。
      ......还有很多,针对需求,一方面可以自己通过wireshark软件显示的头部字段来猜测,另一方面可以查阅文档,https://www.wireshark.org/docs/dfref/,这里面列出了所有支持的-e字段写法,可以在里面搜索ip、frame上面我们使用的这几个就会搜到。
    
    //2.示例2
      C:\Users\sdut>tshark -2 -r H:\httpsession.pcap -R "http.request.line || http.file_data || http.response.line" -T fields -e http.request.line -e http.file_data -e http.response.line -E header=y
      输出:该例子输出http协议的请求头,响应头,和响应数据;
      http.request.line  http.file_data  http.response.line
      ......          ......      ......
      具体的这个-R过滤写法,可以查看文档,根据自己的需求来。https://wiki.wireshark.org/DisplayFilters
    
    //3.示例3
      使用windows版本的tshark,抓包存储到本地。每个包只读取1024字节。
      tshark -w E:/1015.pcap -s 1024 -i 本地连接 -q -F pcap
    ......
    

    1.5. 5、参考文献

      tshark官方文档:https://www.wireshark.org/docs/man-pages/tshark.html

      wireshark wiki:https://wiki.wireshark.org/

      捕获过滤器 https://wiki.wireshark.org/CaptureFilters

      显示过滤器,用于display过滤的字段可以通过https://wiki.wireshark.org/DisplayFilters 查询。如果不过滤-e指定的字段数据都会输出,通过-R过滤之后,只有满足规则的才会输出,会因此-R和-T、-e通常会一起使用。

      统计:https://wiki.wireshark.org/Statistics

    展开全文
  • tshark.zip

    2019-10-22 11:09:34
    CentOS7操作系统使用离线rpm安装包安装tshark,通过提供的文档步骤直接安装。
  • 使用pyshark抓包或者分析包的时候,提示没有安装tshark: 1.安装wireshark,基本能解决问题。 2.如果已经安装过wireshark,但还是报错 linux-- pip install tshark可搞定。 windows环境下: 提示是将...

    使用pyshark抓包或者分析包的时候,提示没有安装tshark:

    1.安装wireshark,基本能解决问题。

    2.如果已经安装过wireshark,但还是报错

           linux--    pip install tshark可搞定。

           windows环境下:

           提示是将tshark路劲配置到路径中,上图就是我安装过wireshark后依然报错。默认路径都是在C盘里,当初安装wireshark时候,我安装在E盘中。因此找不到tshark而报错。

    解决办法:

    1.找到你的电脑wireshark的安装位置。

                --可以右击wireshark的属性查看位置

                 

               -- 或者打开“我的电脑”,搜索tshark,查找所在位置

              

    2 tshark一般和wireshark在同级目录,找到tshark后,记住所在位置,我的电脑上是在“E:\wireshark”

     

    3.找到你的tshark.py并打开,找到get_process_path函数

     

    4. 修改函数中的program_files = os.getenv(env)为你的tshark所在位置:

    修改内容中不要再加上wireshark!可以看到后面的os.path.join中已经讲wireshark加入路径中了,再写就重复了。

     

    修改结束后,再使用pyshrak就OK了!

    展开全文
  • tshark 使用技巧

    2020-06-23 21:55:29
    tshark 删除乱序、重传数据包: tshark -2 -R "not tcp.analysis.retransmission && not tcp.analysis.out_of_order" -r 源文件.pcap -w 目标文件名.pcap' tshark 获取tcp流,并保存text格式 tshark -r ...

    tshark 删除乱序、重传数据包:

    tshark -2 -R "not tcp.analysis.retransmission && not tcp.analysis.out_of_order" -r 源文件.pcap -w 目标文件名.pcap'
    

    tshark 获取tcp流,并保存text格式

    tshark -r 源文件.pcap -qz follow,tcp,raw,tcp流的编号
    

    流的编号是0开始的。

    其中raw是16进制串表示流的数据:
    在这里插入图片描述
    还可以hex显示,有数据的偏移:
    在这里插入图片描述

    tshark获取TCP流,并保存为pcap文件

    tshark -2 -R "tcp.stream eq 0" -r 源文件.pcap -w 目标文件名.pcap
    

    -R “xxx” 里面的过滤规则其实就是wireshark里面写的过滤规则。

    tshark获取UDP流

    方法同tcp流的处理方式,只不过把命令里面的所以“tcp”,改成“udp” 。

    tshark获取所有的tcp流的ID

    tshark.exe -r .\1592690823_clear.pcap -Tfields -e tcp.stream
    

    对输出结果排序,就可以拿到最大的tcp.stream ID了。

    tshark获取所有udp流的ID

    方法同tcp流的ID获取方式,把tcp改成udp就可以。

    展开全文
  • tshark -D 只抓取某一个网卡的流量:-i 网卡名 tshark -i en0 读/写文件:-r 文件名/-w 文件名 tshark -i en0 -w test.pcap # 保存在当前执行命令的路径下 限制数据包的数量:-c50,在命令行显示时使用该...
  • tshark在安装wireshark的时候就已经安装上了,目录:/Applications/Wireshark.app/Contents/MacOS/tshark 所以使用软连接把这个目录链接到环境中就行: sudo ln -s /Applications/Wireshark.app/Contents/MacOS/...
  • 抓取500个包,提取访问的网址打印出来tshark -s 0 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l -c 502.抓取500个包,提...
  • tshark源码解析

    2020-07-31 22:35:38
    鉴于没有在网上找到很好的tshark源码解析资源,自己就捣鼓一篇吧,作为备忘录。 本文基于tshark.c,源自wirshark 3.2.4。 tshark介绍 Tshark是wireshark的命令行版本,安装wireshark之后,能够通过tshark -h...
  • TShark Cheat Sheet

    2020-12-26 19:52:11
    <div><h2>Description: <p>A network protocol analyzer ...<p>Instant Answer Page: https://duck.co/ia/view/tshark_cheat_sheet </p><p>该提问来源于开源项目:duckduckgo/zeroclickinfo-goodies</p></div>
  • tshark是wireshark安装目录下命令行工具使用tshark可以通过自动化方式调用wiresharktshark-a duration:30 抓包30秒-w cap.cap 保存为cap.cap-r cap.cap 读取指定报文-f arp 抓取arp报文,捕获过滤-R ip.addr==10.0....
  • Tshark version problem

    2020-12-29 13:45:08
    <div><p>Ostinato 0.8 does not work well when importing pcap files : with new versions of wireshark/tshark (2.2.6 for me), hex dump part for ip version & header length is changed from x45 to x04, ...
  • 我目前的方法是使用类似的东西:tshark -nr -Y'fix' -w- | tcpdump -r- -l -w- | tcpflow -r- -C -Btcpflow 确保遵循TCP流,因此不会丢失FIX消息(在单个TCP数据包包含多于1个FIX消息的情况下) . -C 写入控制台, -B ...
  • tshark使用记录

    2020-03-08 20:47:27
    https://segmentfault.com/a/1190000018886363 ... Tshark 详细参数参见tshark的manpage。 // 列出可监听流量的网络接口列表。tshark使用1,2,...等数字来标识eth0,eth1... # tshark -D //监听接口eth0上的UDP端...
  • Use with tshark

    2020-11-29 01:52:44
    m trying to use the firmware with tshark (so I can use FIND-LF https://github.com/schollz/find-lf) but tshark says it doesn't support monitor mode. <p>I think it comes down to the following: <pre>...
  • tshark outputting nothing

    2020-12-27 00:58:06
    m trying to scan my network to do some penetration testing via tshark, it doesn't work. It outputs nothing and just gives me back my shell. It doesn't give me the help message either. I hope ...
  • 前言:在Linux下,当我们需要抓取网络数据包分析时,通常是使用工具tcpdump。但是,有时我们需要将抓取的数据包保存在一个文件中,已备以后分析。而tcpdump保存的文件是二进制的文件,使用cat...tshark不仅有抓包的...
  • tshark功能详解

    2020-10-28 16:59:41
    Tshark是wireshark的命令行工具,能够无缝地融入linux/windows脚本语言,使嗅探、分析协议的工作变得容易。 基本语法:tshark [ -a ] … [ -b ] … [ -B <capture buffer size (Win32 only)> ] [ -c ] [ -d ==...
  • tshark 小技巧

    2020-06-19 10:21:09
    将pcap转换成json文件,全部特证名都会在json中 tshark -T json -r D:\test.pcap > test.json
  • A Tshark bug report

    2020-12-30 12:48:07
    <div><p>Tshark: When I try to execute tshark, it won't output anything at all. After execution, it just puts back the shell. I expected it to print something, but it doesn't do anything at all...
  • wireshark 命令行 - tshark

    2021-01-29 16:48:45
    tshark help C:\Program Files\Wireshark>tshark.exe --help TShark (Wireshark) 2.6.0 (v2.6.0-0-gc7239f02) Dump and analyze network traffic. See https://www.wireshark.org for more information. Usage: ...
  • tshark使用说明

    2017-10-12 12:26:00
    1 tshark -h 2 TShark (Wireshark) 2.4.1 (v2.4.1-0-gf42a0d2b6c) 3 Dump and analyze network traffic. 4 See https://www.wireshark.org for more information. 5 6 Usage: tshark [options] ... ...
  • tshark 命令行

    2014-01-07 14:46:22
    原帖网址: http://blog.sina.com.cn/s/blog_6a00518c0100xevk.htmltshark就不用我介绍了,这里只是介绍下tshark的命令,方便大家使用或进行二次开发基本语法:tshark [ -a<capture autostop condition> ] ... ...
  • tshark常用命令

    千次阅读 2018-06-30 18:38:19
    sudo tshark -i en0 -Y http.request -T fields -e http.host -e http.user_agent 部分结果如下: [~]$ sudo tshark -i en0 -Y http.request -T fields -e http.host -e http.user_agent ...
  • Tshark Crash Report Error

    2020-12-02 08:33:02
    pyshark.capture.capture.TSharkCrashException: TShark seems to have crashed (retcode: 1). Try rerunning in debug mode [ capture_obj.set_debug() ] or try updating tshark. <p>I am getting this error even...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 753
精华内容 301
关键字:

tshark