TCP/IP网络协议详解

一、Wireshark中的辅助工具

我们在安装完Wireshark时，会发现系统中还多了一些程序，例如Tshark等。这些程序都采用了命令行的工作方式，虽然体积都很小，但是功能却十分强大。

1、Wireshark命令行工具

开Wireshark的安装目录，然后按照类型对文件进行排序，就可以看到除了Wireshark.exe之外还有如图所示的一些命令行工具。

首先我们先来简单地看一下这些工具的功能：

• Tshark.exe：这个工具可以看作是Wireshark的命令行版本，可以用来捕获数据包，也可以读取保存好的数据包捕获文件。 
• editcap.exe：主要用来转换捕获数据包捕获文件的格式。
• dumpcap.exe：和tshark.exe一样用来捕获数据包，保存为libpcap格式文件。
• mergecap .exe：用来将多个数据包捕获文件合并成一个。
• capinfos.exe：用来将显示数据包捕获文件的信息。
• text2pcap.exe：将十六进制转储文件转换为数据包捕获文件。

2、使用Tshark和Dumpcap进行数据包的捕获

1. Tshark.exe使用方法

Tshark.exe是Wireshark的一个组件，可以用来捕获数据包，也可以用来查看之前保存的数据包捕获文件。

Tshark.exe也提供了对数据包的解析和保存功能。虽然没有图形化的工作界面，但是Tshark.exe