Wireshark是世界上首屈一指的网络协议分析器,它可以让您在微观层面看到网络上发生的情况,事实上(常常是法律上)它是许多行业和教育机构的标准工具。感谢全球网络专家的贡献,Wireshark蓬勃发展。它是1998年开始的一个项目的延续。
Wireshark具有丰富的功能集,包括以下内容:
- 深入检查数百种协议,并且还一直在加入更多的内容
- 实时捕获和离线分析
- 标准的三窗格数据包浏览器
- 支持多平台:可以运行于Windows、Linux、OS X、Solaris、FreeBSD、NetBSD等系统
- 捕获的网络数据可以通过GUI或终端模式的TShark工具浏览
- 业界最强大的显示过滤器
- 丰富的VoIP分析
- 使用gzip压缩的捕获文件可以迅速解压缩
- 实时数据可以从以太网、IEEE 802.11、PPP/HDLC、ATM、蓝牙、USB、令牌环、帧中继、FDDI等(根据您的平台)读取,
- 着色规则可以应用于分组列表,以进行快速、直观的分析
- 输出可以导出为XML、PostScript®、CSV或纯文本
- 许多协议的解密支持,包括IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和WPA/WPA2
- 读/写许多不同格式的捕获文件:tcpdump(libpcap)、Pcap NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft网络监视器、Network General Sniffer®(压缩和未压缩)、Sniffer®Pro,以及NetXray®、Network Instruments Observer、NetScreen snoop、Novell LANalyzer、RADCOM WAN/LAN Analyzer、Shomiti/Finisar Surveyor、Tektronix K12xx、Visual Networks Visual UpTime、WildPackets EtherPeek/TokenPeek/AiroPeek,等等
资料来源:http://www.wireshark.org/about.html
- 作者:Gerald Combs和贡献者
- 许可证:GPLv2
root@kali:~# wireshark -h
Wireshark 1.10.2 (SVN Rev 51934 from /trunk-1.10)
Interactively dump and analyze network traffic.
See http://www.wireshark.org for more information.
Copyright 1998-2013 Gerald Combs <[email protected]> and contributors.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
用法:wireshark [options] ... [<infile>]
捕获接口:
-i <interface> 接口的名称或序号(默认:第一个非loopback接口)
-f <capture filter> libpcap语法格式的包过滤器
-s <snaplen> 数据包快照长度(默认:65535)
-p 不在混杂模式下捕获
-k 立即开始捕获(默认:不捕获)
-S 当有新数据包被捕获时,更新数据包显示
-l 当使用-S选项时打开自动滚动
-I 如果可用,在监听模式下捕获
-B <buffer size> 内核缓冲区大小(默认:2MB)
-y <link type> 链接层类型(默认:第一个适当的类型)
-D 打印接口列表并退出
-L 打印接口的链接层类型列表并退出
捕获停止条件:
-c <packet count> 在n个包之后停止(默认:无限制)
-a <autostop cond.> ... duration:NUM - NUM秒后停止
filesize:NUM - 在NUM KB后停止此文件
files:NUM - NUM个文件后停止
捕获输出:
-b <ringbuffer opt> ... duration:NUM - NUM秒后切换到下一个文件
filesize:NUM - 在NUM KB后切换到下一个文件
files:NUM - ringbuffer:NUM个文件后替换
输入文件:
-r <infile> 设置读取的文件名(不支持管道或标准输入!)
处理:
-R <read filter> Wireshark语法格式的包过滤器
-n 禁用所有名称解析(默认:全部启用)
-N <name resolve flags> 启用特定的名称解析:“mntC”
用户界面:
-C <config profile> 用指定的配置文件启动
-Y <display filter> 用给定的显示过滤器启动
-g <packet number> 在“-r”之后转到指定的包号
-J <jump filter> 跳转到第一个匹配(显示)过滤器的数据包
-j 在“-J”之后向后搜索匹配的包
-m <font> 设置大多数文字使用的字体名称
-t a|ad|d|dd|e|r|u|ud 时间戳的输出格式(默认:r:相对首个包的时间)
-u s|hms 秒的输出格式(默认:s:秒)
-X <key>:<value> 扩展选项,详见手册页
-z <statistics> 显示各种统计信息,详见手册页
输出:
-w <outfile|-> 设置输出文件名(或'-'代表标准输出)
杂项:
-h 显示此帮助并退出
-v 显示版本信息并退出
-P <key>:<path> persconf:path - 个人配置文件
persdata:path - 个人数据文件
-o <name>:<value> ...覆盖首选项或最近的设置
-K <keytab> 用于kerberos解密的keytab文件
--display=DISPLAY 使用的X display
root@kali:~# tshark -h
TShark 1.10.2 (SVN Rev 51934 from /trunk-1.10)
Dump and analyze network traffic.
See http://www.wireshark.org for more information.
Copyright 1998-2013 Gerald Combs <[email protected]> and contributors.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
用法:tshark [options] ...
捕获界面:
-i <interface> 接口的名称或序号(默认:第一个非loopback接口)
-f <capture filter> libpcap语法格式的包过滤器
-s <snaplen> 数据包快照长度(默认:65535)
-p 不在混杂模式下捕获
-I 如果可用,在监听模式下捕获
-B <buffer size> 内核缓冲区大小(默认:2MB)
-y <link type> 链接层类型(默认:第一个适当的类型)
-D 打印接口列表并退出
-L 打印接口的链接层类型列表并退出
捕获停止条件:
-c <packet count> 在n个包之后停止(默认:无限制)
-a <autostop cond.> ... duration:NUM - NUM秒后停止
filesize:NUM - 在NUM KB后停止此文件
files:NUM - NUM个文件后停止
捕获输出:
-b <ringbuffer opt> ... duration:NUM - NUM秒后切换到下一个文件
filesize:NUM - 在NUM KB后切换到下一个文件
files:NUM - ringbuffer:NUM个文件后替换
输入文件:
-r <infile> 设置读取的文件名(不支持管道或标准输入!)
处理:
-2 进行两阶段分析
-R <read filter> Wireshark语法格式的包过滤器
-Y <display filter> Wireshark语法格式的包显示过滤器
-n 禁用所有名称解析(默认:全部启用)
-N <name resolve flags> 启用特定的名称解析:“mntC”
-d <layer_type> == <selector>,<decode_as_protocol> ...
“Decode AS”,详见手册页
示例:tcp.port == 8888,http
-H <hosts file> 从hosts文件读取条目列表,然后写入捕获文件。(隐含-W n选项)
输出:
-w <outfile|-> 数据包写入pcap格式的文件“outfile”(或'-'代表标准输出)
-C <config profile> 用指定的配置文件启动
-F <output file type> 设置输出文件类型,默认为pcapng
一个空的“-F”选项将列出文件类型
-V 添加输出到数据包树(包详细信息)
-O <protocols> 只显示这些协议的数据包详细信息,协议用逗号分隔
-P 即使写入文件也打印数据包摘要
-S <separator> 数据包之间打印的行分隔符
-x 添加十六进制和ASCII转储输出(数据包字节)
-T pdml|ps|psml|text|fields
文本输出格式(默认:文本)
-e <field> 指定打印字段,如果设置了-Tfields选项(例如tcp.port、col.Info);
可以重复此选项以打印多个字段
-E<fieldsoption>=<value> 设置输出选项,如果选择了-Tfields:
header=y|n 切换是否输出首部
separator=/t|/s|<char> 选择跳格键、空格、可打印字符作为分隔符
occurrence=f|l|a 打印每个字段的第一个、最后一个或所有的出现
aggregator=,|/s|<char> 选择逗号、空格、可打印字符作为聚合符
quote=d|s|n 选择双引号、单引号、无引号值
-t a|ad|d|dd|e|r|u|ud 时间戳的输出格式(默认:r:相对首个包的时间)
-u s|hms 秒的输出格式(默认:s:秒)
-l 每个数据包后刷新标准输出
-q 静默标准输出(例如统计信息时)
-Q 只输出错误信息(比-q更安静)
-g 启用输出文件的用户组读权限
-W n 如果支持,在文件中保存额外的信息。
n=写入网络地址解析信息
-X <key>:<value> 扩展选项,详见手册页
-z <statistics> 显示各种统计信息,详见手册页
杂项:
-h 显示此帮助并退出
-v 显示版本信息并退出
-o <name>:<value> ...覆盖首选项设置
-G [report] 转储几个可用报告之一并退出
默认report="fields"
用"-G ?"获取更多帮助
root@kali:~# tshark -f "tcp port 80" -i eth0
root@kali:~# wireshark
