tshark和tcpdump的简单使用

# 版本
tshark -v
# 帮助
tshark -h
tcpdump -h
# 列出所有网卡
tshark -D
root@kali:~# tshark -D
Running as user "root" and group "root". This could be dangerous.
1. eth0
2. lo (Loopback)
# -i指定网卡进行捕获
tshark -i 1
tcpdump -i eth0
# PS:指定eth0捕获
# -w 指定文件输出
tshark -i 1 -w packets.pcap
tcpdump -i eth0 -w packets.pcap
# PS:捕获并保存到packets.pcap文件中
# -r 读取指定数据包中所有内容
tshark -r packets.pcap
tcpdump -r packets.pcap
# -c数字 限定数据包数量
tshark -r packets.pcap -c10
tcpdump -r packets.pcap -c10
# PS:读取packets.pcap文件的前十个数据包
tshark -i 1 -w packets.pcap -c10
tcpdump -i eth0 -w packets.pcap -c10
# PS:捕获十个数据包保存到packets.pcap
# -V 增加冗余以显示更多信息
tshark -r packets.pcap -V -c1
# PS:显示第一个数据包的详细信息
# -v 用v的个数指定显示信息显示程度 最多三个
tcpdump -r packets.pcap -vvv
# PS:tcpdump -vvv没有tshark -V显示的丰富度高
# -x 以十六进制或ASCII的形式显示
tshark -xr packets.pcap
tcpdump -Xr packets.pcap
# PS:tshark小x tcpdump大X
# -n 禁用tshark的名称解析
tshark -ni 1
tshark -i 1 -Nt
# PS:-Nt仅启用传输层名称解析
# 单独-N禁用所有名称解析,配合其他参数指定允许名称解析
# m:MAC地址解析
# n:网络地址解析
# t:传输层解析
tcpdump -nni eth0
# PS:tcpdump -n禁止IP名称解析 -nn禁止端口服务解析
# -f 应用捕获过滤器 双引号内写BPF语法
tshark -ni 1 -w packets.pcap -f "tcp port 80"
# -Y 应用显示过滤器
tshark -ni 1 -w packets.pcap -Y "tcp.dstport == 80"
tshark -r packets.pcap -Y "tcp.dstport == 80"
# tcpdump 单引号内写BPF
tcpdump -ni eth0 -w packets.pcap 'tcp dst port 80'
tcpdump -r packets.pcap 'tcp dst prot 80'
tcpdump -r packets.pcap 'tcp dst port 80' -w http_packets.pcap
# PS:把packets.pcap文件中满足dst prot 80的数据包保存到http_packets.pcap中
# tcpdump -F 指定一个BPF文件来过滤
tcpdump -nni eth0 -F dns_servers.bpf
# PS:捕获符合bpf文件中过滤条件的数据包 bpf文件中不允许有注释

# -t ad 按照绝对时间
tshark -r packets.pcap -t ad
# PS:a 绝对时间 ad带日期的绝对时间
# -z 显示统计信息
tshark -r packets.pcap -z conv,ip
tshark -r packets.pcap -z http,tree
tshark -r packets.pcap -z follow,tcp,ascii,0
# PS:以ascii显示跟踪TCP流0

你可能感兴趣的:(计算机网络)