wireshark图形操作对应的命令行操作

本文将介绍一些wireshark UI操作中哪些功能是可以通过其命令行tshark进行实现的。

对于没有UI界面的场景以及习惯使用命令行操作的小伙伴来说，命令行的操作无疑是极好的，同时命令行也可以帮助我们批量的处理pcap数据包。

我在这篇文章中也曾介绍过tshark的一些基本用法，包括抓包的一些限制以及过滤条件的使用，因此上一篇文章中涉及的内容不在重复的讲述，感兴趣的可以查看。

本文主要对于output中的一些参数进行介绍，如下图1：

图1

需要注意的是tu1的版本并不是最新的版本，建议小伙伴们更新至最新的版本，可以体验一些新的功能。

-z参数进行数据统计

通过help的帮助可以，-z参数主要是关于各种统计的。对于一个比较大的数据包，使用UI打开比较麻烦的情况下，可以使用-z参数进行多维度的统计，如下图：

当-z后面跟错误的参数的时候，会提示-z所能提供的功能。如下将介绍一些常见的基础参数。

-z expert

很多参数从名字上是非常的容易辨认的，例如expert表示的是专家信息的统计，对应的是UI中的专家信息选项，如下图：

-z follow

该选项表示的是wirshark追踪流的功能，如下图：

图中tcp表示的是协议，还可以是udp以及ssl等协议。tshark提供了按照hex,raw,ascii,ebcdic 等格式进行显示，可以根据需要进行使用，上图是按照raw格式进行显示，可以和UI中的功能操作对应起来的。其中的0表示流的编号，wireshark内部对于流的编号进行了处理，可以直接使用流编号进行过滤。该参数选项可以按照指定的格式进行输出。-x参数具有和hex选项同样的功能，只是-x参数会将应用层以下的所有信息都会输出。

-z http

如果想要查看一个具体协议的统计，例如http，如下图：

除了http协议之外，还提供了例如smb,dcerpc,icmp,sip等协议的统计展示，使用方法类似。

统计数据包信息

可以通过plen以及ptype进行查看数据包的统计信息，如下图：

也可以通过conv选项查看，对应的是UI中的统计->conversation选项。

由于-z的参数是非常的丰富，一次全部掌握不太现实也没有必要。在需要用到的时候查看wireshark提供的说明文档即可。

显示每个协议树的具体信息

wireshark UI中可以按需将每一层协议的协议树进行展开并查看具体的字段内容，如下图：

对应的tshark参数选项如下图：

-O选项后面跟上具体的协议表示只展开对应协议层的协议树，如果使用-V则默认展开所有的协议树。

-T选项指定输出格式

该选项表输出内容格式，在新版本的tshark中支持如下几种格式的输出：

-T ek|fields|json|jsonraw|pdml|ps|psml|tabs|text

命令运行如下：

由于json是在新版本支持的功能，建议安装tshark的时候安装最新的版本。可以看到会将wirehark所能够解析的所有协议字段，存储为json格式的文件。

当-T选项取值为fields，要和-e参数配合使用，其中-e表示要输出的协议字段，-E表示个字段输出间隔符，如下：

上图输出了每一个数据包对应的的五元组，以制表符进行分割。

–export-objects导出pcap中的文件

有的时候想要还原数据包中传输的文件，如下图是wireshark UI的操作：

可以将HTTP协议请求中的文件存成指定的格式，该条操作对应的命令如下：

 ./tshark -r .fastadmin-merge.pcap --export-objects http,test -q

这样就会在tshark或或者当前的目录中生成test文件夹，文件夹中会生成对应传输的数据，文件名为传输中指定的文件名。有的时候想要批量的提取数据包中的文件，可用这种方法进行操作。

通常情况，wireshark UI 界面的操作都有对应的命令行形式，如果没有，可能的原因是版本太低，安装高版本的tshark命令行。使用命令行能够快速的实现一些批处理的操作。

本文为CSDN村中少年原创文章，未经允许不得转载，博主链接这里。

最后

以上就是霸气柠檬为你收集整理的wireshark图形操作对应的命令行操作的全部内容，希望文章能够帮你解决wireshark图形操作对应的命令行操作所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。