Linux之tshark抓包工具安裝和使用

一、tshark簡(jiǎn)介

tshark是一個(gè)網(wǎng)絡(luò)協(xié)議分析器。它允許您從實(shí)時(shí)網(wǎng)絡(luò)捕獲數(shù)據(jù)包數(shù)據(jù)，或者從以前保存的捕獲文件讀取數(shù)據(jù)包，或者將這些數(shù)據(jù)包的解碼形式打印到標(biāo)準(zhǔn)輸出，或者將數(shù)據(jù)包寫入文件。TShark的本機(jī)捕獲文件格式是pcapng格式，這也是Wireshark和其他各種工具使用的格式。如果不設(shè)置任何選項(xiàng)，TShark的工作方式將非常類似于tcpdump。它將使用pcap庫(kù)捕獲來(lái)自第一個(gè)可用網(wǎng)絡(luò)接口的流量，并在每個(gè)接收到的數(shù)據(jù)包的標(biāo)準(zhǔn)輸出上顯示摘要行。

本文實(shí)驗(yàn)環(huán)境說明：

操作系統(tǒng)：ceontos7.6

wireshark:1.10.14

二、安裝步驟

1、安裝epel擴(kuò)展源

[root@s145 yum.repos.d]# yum install -y epel-release

2、安裝wireshark

#tshark是wireshark的一個(gè)工具，我們可以直接安裝wireshark

[root@s145 yum.repos.d]# yum install -y wireshark

3、查看版本

[root@s145 yum.repos.d]# tshark -v
TShark 1.10.14 (Git Rev Unknown from unknown)

三、使用示例

1、獲取命令幫助

[root@s145 ~]# tshark --help

2、查看命令版本

[root@s145 ~]# tshark -v

3、eth0接口抓包

[root@s145 ~]# tshark -i eth0

4、抓取前10個(gè)包

[root@s145 ~]# tshark -i eth0 -c 10

5、抓包http包

[root@s145 ~]# tshark -i eth0 -f ‘tcp dst port 80’

6、抓取http請(qǐng)求包

[root@s145 ~]# tshark -i eth0 -f ‘tcp dst port 80’ -R “http.request”

7、抓取http包并打印指定字段

[root@s145 ~]# tshark -i eth0 -n -f ‘tcp dst port 80’ -R ‘http.host and http.request.uri’ -T fields -e http.host -e http.request.uri -l

8、抓包并過來(lái)指定IP地址的包

[root@s145 ~]# tshark -i eth0 -R “ip.addr == 47.103.25.27”

-R參數(shù)可以使用滿足wireshark過濾規(guī)則的包，過濾規(guī)則可以參考博文：

抓包工具之wireshark常用過濾表達(dá)式

四、命令參數(shù)說明

??此處參數(shù)說明僅介紹部分常用參數(shù)，參數(shù)詳細(xì)說明見官網(wǎng)文檔：https://www.wireshark.org/docs/man-pages/tshark.html

1、捕獲接口參數(shù)

參數(shù)參數(shù)說明

-i 接口名或網(wǎng)卡編號(hào) (默認(rèn): 第一個(gè)非環(huán)回接口)

-f 使用libpcap過濾表達(dá)式進(jìn)行包過濾

-s 設(shè)置每個(gè)抓包的大小，默認(rèn)為262144。

-p不使用混雜模式抓捕報(bào)文（即只抓取與本機(jī)有關(guān)的流量）

-I如果支持則啟用鏡像模式

-B 內(nèi)核緩存大小 (默認(rèn)4MB)

-y 鏈路層類型 (默認(rèn)為找到的第一個(gè)協(xié)議)

-D列出所有接口并退出

-L列出所有接口鏈路層類型并退出（供-y參數(shù)使用）

2、捕獲終止條件參數(shù)

參數(shù)  參數(shù)說明
-c   捕獲到n個(gè)包時(shí)停止 (默認(rèn)不限，持續(xù)捕獲)
-a  … duration:NUM  捕獲進(jìn)行NUM后停止
-a  … filesize:NUM  輸出文件大于NUM KB后停止
-a  … files:NUM  輸出超過NUM個(gè)文件后停止

3、捕獲輸出參數(shù)

參數(shù)  參數(shù)說明
-b  … duration:NUM  在NUM秒后寫入下一個(gè)文件（文件名由-w參數(shù)決定）
-b  … interval:NUM  創(chuàng)建時(shí)間間隔NUM秒
-b  … filesize:NUM  在文件大于NUM KB后寫入下一個(gè)文件
-b  … files:NUM  循環(huán)緩存: 在NUM個(gè)文件后替換早前的

4、讀取文件參數(shù)

參數(shù)  參數(shù)說明
-r   設(shè)置需要讀取的文件名及路徑

5、分析處理參數(shù)

參數(shù)  參數(shù)說明
-2  執(zhí)行兩次分析
-R   包的讀取過濾器，可以在wireshark的filter語(yǔ)法上查看；在wireshark的視圖->過濾器視圖，在這一欄點(diǎn)擊表達(dá)式，就會(huì)列出來(lái)對(duì)所有協(xié)議的支持。
-Y   使用讀取過濾器的語(yǔ)法，在單次分析中可以代替-R選項(xiàng);
-n:  禁止所有地址名字解析（默認(rèn)為允許所有）
-N  :  啟用某一層的地址名字解析。“m”代表MAC層，“n”代表網(wǎng)絡(luò)層，“t”代表傳輸層，“C”代表當(dāng)前異步DNS查找。如果-n和-N參數(shù)同時(shí)存在，-n將被忽略。如果-n和-N參數(shù)都不寫，則默認(rèn)打開所有地址名字解析。
-d ==, …  將指定的數(shù)據(jù)按有關(guān)協(xié)議解包輸出,如要將tcp 8888端口的流量按http解包，應(yīng)該寫為“-d tcp.port==8888,http”;tshark -d. 可以列出所有支持的有效選擇器。

6、輸出參數(shù)

參數(shù)  參數(shù)說明
-w   使用pcapng格式將報(bào)文寫入"outfile"文件 (或’-'表示標(biāo)準(zhǔn)輸出，直接顯示在終端)
-C   啟動(dòng)時(shí)使用指定的配置文件
-F 
  設(shè)置輸出文件格式類型, 默認(rèn)為pcapng格式 "-F"留空則列出所有的文件類型
-V  輸出中增加報(bào)文層次樹(包詳細(xì)信息)
-O   僅顯示以下協(xié)議的詳細(xì)信息，逗號(hào)分割
-P  每寫入一個(gè)文件后進(jìn)行包情況匯總
-S   數(shù)據(jù)包之間的行分割符
-x  輸出中增加16進(jìn)制和ascii字符信息(報(bào)文按字節(jié)顯示)
-T pdml|ps|psml|json|jsonraw|ek|tabs|text|fields|?  文本輸出格式 (默認(rèn)文本:text)
-j   當(dāng)-T ek|pdml|json 設(shè)置時(shí)協(xié)議層過濾 (例：“ip ip.flags text”, 過濾不展開的所有字節(jié)點(diǎn)，除非過濾中有指定的子節(jié)點(diǎn)）
-J   當(dāng) -T ek|pdml|json 選項(xiàng)設(shè)置時(shí)進(jìn)行頂層協(xié)議過濾， (例: “http tcp”, 過濾展開的所有字節(jié)點(diǎn)）
-e   當(dāng) -T fields 設(shè)置時(shí)打印字段 (如tcp.port,_ws.col.Info) 此選項(xiàng)可以多個(gè)用于打印多個(gè)字段
-E=  當(dāng)-Tfields選項(xiàng)啟用時(shí)用于輸出配置:

7、其他

參數(shù)  參數(shù)說明
-h  顯示幫助
-v  顯示版本
-o : …  覆蓋配置項(xiàng)
-K   使用keytab文件用于解密kerberos
-G [report]  生成一份或多份報(bào)告，默認(rèn)report=“fields”,使用"-G help"獲取更多信息

五、QA

1、yum安裝tshark提示No package tshark available

原因：確實(shí)沒有tshark包，tshark是wireshark的一個(gè)工具

解決方案：安裝wireshark

[root@s145 yum.repos.d]# yum provides tshark

審核編輯：湯梓紅