Wireshark 用命令行分析数据包

1，那些情况需要使用命令行

TShark是基于终端的Wireshark，它是能够提供大量和Wireshark功能相同的数据包分析工具，但仅限于没有GUI的命令行界面。
TShark一般是随Wireshark附带安装的。可打开Wireshark安装目录，使用cmd打开控制台，使用tshark -v查看是否安装。

在这里插入图片描述

如何把当前流量捕获下来的并把它们打印到屏幕上。要在TShark里捕获，仅需要执行命令tshark。此命令会从网卡开始抓取当前流量。
根据你的系统配置，可有由于电脑安装有虚拟机等原因，TShark不会默认从你设想的网卡抓取流量。这种情况需要你手动选择网卡。可以使用TShark的**-D**参数来列出当前的可用网卡，系统会以数字的形式打印出网卡信息。
要选择其中一个网卡，可使用命令tshark -i +上网卡序号 。随后程序便开始捕获流量
要将抓到的包存为文件，可使用**-w参数加上要保存的文件名。抓包进程会持续进行，除非按下Ctrl+C**终止抓包。流量文件会直接保存在当前执行命令的目录下。
要想从保存的文件中回读数据包，可使用**-r**参数加上文件名。
如果要读取的文件包含了太多的数据包，那么一大堆的信息在屏幕上滚动导致什么都看不清。这时可使用参数**-c**来限制在屏幕上显示的数据包数量。
抓包的时候也可以使用**-c**参数，表示只获取抓包数据的前xx个包，获取到后程序会自动停止抓包。

使用命令行工具的另一个优点是可以自定义输出。一般GUI应用会把所有的信息都告诉你，然后你可以自行寻找所需的内容。命令行工具通常只会显示最简输出，并强制你使用额外的命令参数来挖掘更高级的用法，TShark默认情况下只会为一个数据包显示一行输出。如果你想看到协议细节或者单独字节这些更深入的内容，就需要使用额外的命令参数。
在TShark的输出中，每一行代表一个数据包，每一行输出的格式取决于数据包使用的协议类型。
在TShark中，使用大写的V来增加冗余。
在TShark中，可以使用**-x参数来查看数据包的ASCII形式或十六进制字节形式，同时结合-r参数把捕获文件读取到TShark**里并显示出来。

可以通过-n参数来禁用TShark的名称解析。如

tshark -ni 2              2本地网卡，即禁用本地网卡的名称解析
1

可以通过-N参数来启用或禁用一些名称解析的特定功能。如果使用-N参数，则所有的名称解析功能将会被禁用，除非指定一些功能的启用。如启用传输层（端口服务名称）的解析。
- ```
tshark -i 2 -Nt
1
```
你也可以结合多个值，下面命令会启用传输层和MAC层的解析。
- ```
tshark -i 2 -Ntm
1
```

使用-N选项时的可参考值

m：MAC地址解析
n：网络地址解析
t：传输层（端口服务名称）解析
N：使用外网解析服务
C：使用当前DNS解析
1
2
3
4
5

TShark可以使用Wireshark的显示过滤器表达式。
TShark的捕获过滤器可以边捕获边过滤，也可以在捕获完成后过滤显示结果。
使用**-f参数来应用捕获过滤器，在双引号内填写表达式。如下面命令仅会**抓取和存储目的端口号是80的TCP流量
- ```
tshark -ni 2 -w test.pcap -f "tcp port 80"
1
```
使用**-Y**来应用显示捕获器，在双引号内使用wireshark的过滤器语法。
- ```
tshark -ni 2 -w test.pcap -Y "tcp.dstport == 80"
1
```

TShark中的可用时间显示格式