一、tshark簡介

tshark是一個網絡協議分析器。它允許您從實時網絡捕獲數據包數據，或者從以前保存的捕獲文件讀取數據包，或者將這些數據包的解碼形式打印到標準輸出，或者將數據包寫入文件。TShark的本機捕獲文件格式是pcapng格式，這也是Wireshark和其他各種工具使用的格式。如果不設置任何選項，TShark的工作方式將非常類似于tcpdump。它將使用pcap庫捕獲來自第一個可用網絡接口的流量，并在每個接收到的數據包的標準輸出上顯示摘要行。

本文實驗環境說明：

操作系統：ceontos7.6

wireshark:1.10.14

二、安裝步驟

1、安裝epel擴展源

[root@s145 yum.repos.d]# yum install -y epel-release

2、安裝wireshark

#tshark是wireshark的一個工具，我們可以直接安裝wireshark

[root@s145 yum.repos.d]# yum install -y wireshark

3、查看版本

[root@s145 yum.repos.d]# tshark -v
TShark 1.10.14 (Git Rev Unknown from unknown)

三、使用示例

1、獲取命令幫助

[root@s145 ~]# tshark --help

2、查看命令版本

[root@s145 ~]# tshark -v

3、eth0接口抓包

[root@s145 ~]# tshark -i eth0

4、抓取前10個包

[root@s145 ~]# tshark -i eth0 -c 10

5、抓包http包

[root@s145 ~]# tshark -i eth0 -f ‘tcp dst port 80’

6、抓取http請求包

[root@s145 ~]# tshark -i eth0 -f ‘tcp dst port 80’ -R “http.request”

7、抓取http包并打印指定字段

[root@s145 ~]# tshark -i eth0 -n -f ‘tcp dst port 80’ -R ‘http.host and http.request.uri’ -T fields -e http.host -e http.request.uri -l

8、抓包并過來指定IP地址的包

[root@s145 ~]# tshark -i eth0 -R “ip.addr == 47.103.25.27”

-R參數可以使用滿足wireshark過濾規則的包，過濾規則可以參考博文：

抓包工具之wireshark常用過濾表達式

四、命令參數說明

??此處參數說明僅介紹部分常用參數，參數詳細說明見官網文檔：https://www.wireshark.org/docs/man-pages/tshark.html

1、捕獲接口參數

參數參數說明

-i 接口名或網卡編號 (默認: 第一個非環回接口)

-f 使用libpcap過濾表達式進行包過濾

-s 設置每個抓包的大小，默認為262144。

-p不使用混雜模式抓捕報文（即只抓取與本機有關的流量）

-I如果支持則啟用鏡像模式

-B 內核緩存大小 (默認4MB)

-y 鏈路層類型 (默認為找到的第一個協議)

-D列出所有接口并退出

-L列出所有接口鏈路層類型并退出（供-y參數使用）

2、捕獲終止條件參數

參數  參數說明
-c   捕獲到n個包時停止 (默認不限，持續捕獲)
-a  … duration:NUM  捕獲進行NUM后停止
-a  … filesize:NUM  輸出文件大于NUM KB后停止
-a  … files:NUM  輸出超過NUM個文件后停止

3、捕獲輸出參數

參數  參數說明
-b  … duration:NUM  在NUM秒后寫入下一個文件（文件名由-w參數決定）
-b  … interval:NUM  創建時間間隔NUM秒
-b  … filesize:NUM  在文件大于NUM KB后寫入下一個文件
-b  … files:NUM  循環緩存: 在NUM個文件后替換早前的

4、讀取文件參數

參數  參數說明
-r   設置需要讀取的文件名及路徑

5、分析處理參數

參數  參數說明
-2  執行兩次分析
-R   包的讀取過濾器，可以在wireshark的filter語法上查看；在wireshark的視圖->過濾器視圖，在這一欄點擊表達式，就會列出來對所有協議的支持。
-Y   使用讀取過濾器的語法，在單次分析中可以代替-R選項;
-n:  禁止所有地址名字解析（默認為允許所有）
-N  :  啟用某一層的地址名字解析。“m”代表MAC層，“n”代表網絡層，“t”代表傳輸層，“C”代表當前異步DNS查找。如果-n和-N參數同時存在，-n將被忽略。如果-n和-N參數都不寫，則默認打開所有地址名字解析。
-d ==, …  將指定的數據按有關協議解包輸出,如要將tcp 8888端口的流量按http解包，應該寫為“-d tcp.port==8888,http”;tshark -d. 可以列出所有支持的有效選擇器。

6、輸出參數

參數  參數說明
-w   使用pcapng格式將報文寫入"outfile"文件 (或’-'表示標準輸出，直接顯示在終端)
-C   啟動時使用指定的配置文件
-F 
  設置輸出文件格式類型, 默認為pcapng格式 "-F"留空則列出所有的文件類型
-V  輸出中增加報文層次樹(包詳細信息)
-O   僅顯示以下協議的詳細信息，逗號分割
-P  每寫入一個文件后進行包情況匯總
-S   數據包之間的行分割符
-x  輸出中增加16進制和ascii字符信息(報文按字節顯示)
-T pdml|ps|psml|json|jsonraw|ek|tabs|text|fields|?  文本輸出格式 (默認文本:text)
-j   當-T ek|pdml|json 設置時協議層過濾 (例：“ip ip.flags text”, 過濾不展開的所有字節點，除非過濾中有指定的子節點）
-J   當 -T ek|pdml|json 選項設置時進行頂層協議過濾， (例: “http tcp”, 過濾展開的所有字節點）
-e   當 -T fields 設置時打印字段 (如tcp.port,_ws.col.Info) 此選項可以多個用于打印多個字段
-E=  當-Tfields選項啟用時用于輸出配置:

7、其他

參數  參數說明
-h  顯示幫助
-v  顯示版本
-o : …  覆蓋配置項
-K   使用keytab文件用于解密kerberos
-G [report]  生成一份或多份報告，默認report=“fields”,使用"-G help"獲取更多信息

五、QA

1、yum安裝tshark提示No package tshark available

原因：確實沒有tshark包，tshark是wireshark的一個工具

解決方案：安裝wireshark

[root@s145 yum.repos.d]# yum provides tshark

審核編輯：湯梓紅