初次使用tshark小结

tshark命令行工具

1.打开cmd

2.进入wireshark安装目录

3.输入tshark -D

开始使用tshark命令行工具

初次使用tshark小结_第1张图片

例子,把各协议的data数据部分保存到CSV文件当中

-r 指定要分析的.pcap文件
-T fields 说明要对.pcap文件重的fields进行提取
-e filed_name 制定要提取的fields的名字,按照-e的先后顺序,不同的field按列顺序的排列在.csv文件中。
各种field名称可以从wireshark的网站上查询,主要有TCP协议的fileds,IP协议的fields,UDP协议的fields,HTTP协议。
-E 指定输出field的格式,包括如下格式:
初次使用tshark小结_第2张图片

-e后面的参数

frame.number  帧数

eth.src  源物理地址

eth.dst  目的物理地址

ip.src   源IP地址

ip.dst   目的IP地址

ip.proto   IP协议端口号

ip.len   协议的长度

data  协议中的data数据

frame   帧的内容

tshark命令选项详解链接:

官方文档https://www.wireshark.org/docs/man-pages/tshark.html

可学习的博客链接:

翻译的中文版本:https://blog.csdn.net/u014608280/article/details/79463386

其他的参考链接1:https://blog.csdn.net/cpongo3/article/details/93995895?ops_request_misc=%7B%22request%5Fid%22%3A%22158183871819724811842381%22%2C%22scm%22%3A%2220140713.130056874..%22%7D&request_id=158183871819724811842381&biz_id=0&utm_source=distribute.pc_search_result.none-task

2:https://blog.csdn.net/gugu1313/article/details/46895983?ops_request_misc=%7B%22request%5Fid%22%3A%22158183871819724811842381%22%2C%22scm%22%3A%2220140713.130056874..%22%7D&request_id=158183871819724811842381&biz_id=0&utm_source=distribute.pc_search_result.none-task

你可能感兴趣的:(初次使用tshark小结)