前面几篇文章介绍了wireshark自带的一些命令行工具,每一个命令行工具基本能够完成一项特定的功能。对于tshark这个命令行工具来说,几乎具有wireshark界面所能提供的所有功能。因此有必要学习该命令,在学习该命令的过程中,我会将对应GUI的操作列出来,会使得你能够快速的理解和使用该命令。当然在前面两章所介绍的其他命令行的一些功能也可以通过tshark来进行实现,可以根据实际的使用场景选择使用。本小节就简单的介绍一下tshark的使用方法,作为我的专栏《wireshark从入门到精通》中的一篇。
tshark既可以处理在线数据,也可以处理离线数据。对于在线的数据处理,即抓包过程,将是本小节介绍的重点。通过tshark -h可以看出该命令的功能分为几类,首先是抓包的功能,包含一系列的参数如图1:
图1
在使用wireshark GUI进行抓包的时候,通常会进行如图2的设置:
图2
- 图2红框1中的接口,对应图1中的-i参数,表示需要捕获数据的网卡名称。
- 图2红框1中的链路层头类型对应图1中的-y参数,可以自行在GUI中设置。
- 图2红框1中的混杂对应图1中的-p参数,表示是否使用混杂模式。