tshark总结

简介

tshark作为wireshark的命令行版本，功能非常强大，可以抓包，数据包分析、提取文件、提取分析后的数据还支持各种格式，可以说一把流量分析的瑞士军刀，如果在低流量的场景，包装下tshark命令，就可以做个功能比较丰富的分析系统了，结合检测规则，一个简单点的IDS系统就出来了。

IDS系统即入侵检测系统（Intrusion Detection System），是监控网络或主机中是否存在恶意活动（如黑客攻击、病毒入侵），并在发现异常时发出警报的安全防护工具。

一些命令

tshark -D 

列出你系统上所有可用的网络接口的命令。

tshark -h 

获取官方使用手册

在wireshark-->帮助-->说明文档-->tshark文档file:///Applications/Wireshark.app/Contents/Resources/share/wireshark/tshark.html

tshark -r

#两种方法均可
tshark -c 5 -r ttt.pcap
tshark -r ttt.pcap -c 5

tshark -t

tshark -r ttt.pcap -t ad

tshark -f🌟

设置捕获过滤器

tshark -f "tcp port 80"

tshark -a🌟

设置自动停止条件

#60秒后自动停止
tshark -a duration:10

#捕获2个数据包停止
tshark -a packets:2 

#捕获2kb自动停止
tshark -a filesize:2 -w ttt.pcap

tshark -e

指定输出字段

前面需要-T指定输出格式

tshark -r ttt.pcap -T json -e ip.src

tshark -q 

静默模式

tshark -O

展开具体的协议树

tshark -r ttt.pcap -O tcp  #展开传输层

tshark -r ttt.pcap -Y "tcp.flags.syn==1" -O eth  #展开链路层

tshark -r ttt.pcap -Y "tcp.flags.syn==1" -O ip  #展开网络层

tshark -r ttt.pcap -Y "tcp.flags.syn==1" -O http #展开应用层，写http\ftp\smtp\dns

tshark -V

展开所有协议层的详细结构

tshark -Y

显示过滤器

tshark -r ttt.pcap -Y "tcp.flags.syn==1" -O tcp

tshark -z

启用统计/分析功能

tshark -r ttt.pcap -z follow,tcp,ascii,2 #导出流编号为2的流

tshark -r ttt.pcap -z conv,tcp  #查看所有tcp流

tshark -r ttt.pcap -z follow,http,raw,0

tshark -r ttt.pcap -z follow,tcp,hex,1  #输出十六进制

>

tshark -r ttt.pcap -z follow,tcp,hex,1 > tt1.hex

tshark -r ttt.pcap -z follow,tcp,ascii,1 > tt2.txt

参考文档

https://mp.weixin.qq.com/s/TB1ceQDAygxe3YSpAArgaw