wireshark学习——5.命令行模式

了解命令行的特点
只要我们在计算机中安装了Wireshark,那么在其安装目录中就可以找到tshark这款工具:

Alt text

它的下方名为tshark.html的文件就是这款工具的帮助信息。注意这款工具并不是通过直接在这里双击运行的,而是需要通过cmd命令行切换到wireshark的安装目录,然后再通过相应的命令来使用这款工具。或者直接将tshark加入环境变量就可以直接使用。

而我之所以要以一节课来论述这款工具,是因为我们在实际的分析中,为了得到精准的分析结果,往往需要通过编写脚本程序来实现我们的目的。比如假设我们想要统计某一个捕获文件中由于某一条件导致的停滞共有多少毫秒,那么显然仅仅通过Wireshark生成的图形进行统计是不精确的。而传统的做法就需要把符合该条件的数据包筛选出来,逐段统计停滞的时间。如果捕获文件不复杂,那么统计的速度还会比较快,可是一旦出现复杂的网络状况,那么这种纯手工的方式就明显力不从心了。

遇到这种情况,我们就需要使用脚本程序来辅助我们的分析,可是Wireshark本身并没有提供这样的功能,因此我们就需要利用tshark这款命令行工具来引入相应的脚本程序。脚本程序的编写不是我们课程的讨论范围,但是依旧有必要讨论tshark的基本用法,其实它就是相当于Wireshark的命令行版本。与图形界面相比,命令行存在着一些先天的优势:

可以使用诸如awk或者grep这样的工具来辅助分析。这一点就是图形界面无法实现的。而有些高手之所以说tshark的功能比Wireshark强大,往往就是由于这个原因。这里所说的awk可以将文件逐行的读入,以空格为默认分隔符将每行切片,切开的部分再进行各种分析处理。而grep可以用于字符串的查找。但是这些工具一般需要在Linux系统中才能实现。这里我可以给大家展示一下tshark与grep的使用。我使用的是Kali

你可能感兴趣的:(网络)