1、目的

　　寫這篇博客的目的主要是為了方便查閱，使用wireshark可以分析數據包，可以通過編輯過濾表達式來達到對數據的分析；但我的需求是，怎么樣把Data部分導出來，因為后續的工作主要針對數據包的Data部分，主要是對本地存儲的.pcap文件進行解析。這時候就會使用到tshark命令行工具，可以通過命令提取自己想要的數據，可以重定向到文件，也可以結合上層語言比如Java，來調用命令行，實現對數據的處理！

　　下面我會從?相關實例、選項介紹、部分實例運行結果?進行概括!

2、首先我們先來看一下網上的一些例子，我對這些例子進行了整理，并給出了說明。

//打印http協議流相關信息 tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '\t' 　　注釋： 　　　　-s: 只抓取前512字節； 　　　　-i: 捕獲eth0網卡； 　　　　-n: 禁止網絡對象名稱解析; 　　　　-f: 只捕獲協議為tcp,目的端口為80; 　　　　-R: 過濾出http.host和http.request.uri; 　　　　-T,-e: 指的是打印這兩個字段; 　　　　-I: 輸出到命令行界面; //實時打印當前mysql查詢語句 tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query 　　　注釋: 　　　　-R: 過濾出mysql的查詢語句; //導出smpp協議header和value的例子 tshark -r test.cap -R '(smpp.command_id==0x80000004) and (smpp.command_status==0x0)' -e smpp.message_id -e frame.time -T fields -E header=y >test.txt 　　　注釋:
　　　　-r: 讀取本地文件，可以先抓包存下來之后再進行分析;
　　　　-R: smpp...可以在wireshark的過濾表達式里面找到，后面會詳細介紹;
　　　　-E: 當-T字段指定時，設置輸出選項，header=y意思是頭部要打印;
　　　　-e: 當-T字段指定時，設置輸出哪些字段;
　　　　 >: 重定向; //統計http狀態 tshark -n -q -z http,stat, -z http,tree
　　　注釋:
　　　　-q: 只在結束捕獲時輸出數據，針對于統計類的命令非常有用;
　　　　-z: 各類統計選項，具體的參考文檔，后面會介紹，可以使用tshark -z help命令來查看所有支持的字段; 　　　　　　 http,stat: 計算HTTP統計信息，顯示的值是HTTP狀態代碼和HTTP請求方法。
　　　　　　 http,tree: 計算HTTP包分布。 顯示的值是HTTP請求模式和HTTP狀態代碼。 //抓取500個包提取訪問的網址打印出來 tshark -s 0 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l -c 500 　　　注釋:
　　　　-f: 抓包前過濾；
　　　　-R: 抓包后過濾；
　　　　-l: 在打印結果之前清空緩存;
　　　　-c: 在抓500個包之后結束; //顯示ssl data數據 tshark -n -t a -R ssl -T fields -e "ip.src" -e "ssl.app_data"
//讀取指定報文,按照ssl過濾顯示內容 tshark -r temp.cap -R "ssl" -V -T text
　　注釋:
　　　　-T text: 格式化輸出，默認就是text;
　　　　-V: 增加包的輸出;//-q 過濾tcp流13，獲取data內容 tshark -r temp.cap -z "follow,tcp,ascii,13" //按照指定格式顯示-e tshark -r temp.cap -R ssl -Tfields -e "ip.src" -e tcp.srcport -e ip.dst -e tcp.dstport //輸出數據 tshark -r vmx.cap -q -n -t ad -z follow,tcp,ascii,10.1.8.130:56087,10.195.4.41:446 | more 　　注釋:
　　　　-t ad: 輸出格式化時間戳; //過濾包的時間和rtp.seq tshark -i eth0 -f "udp port 5004" -T fields -e frame.time_epoch -e rtp.seq -o rtp.heuristic_rtp:true 1>test.txt
　　注釋:
　　　　-o: 覆蓋屬性文件設置的一些值;
//提取各協議數據部分 tshark -r H:/httpsession.pcap -q -n -t ad -z follow,tcp,ascii,71.6.167.142:27017,101.201.42.120:59381 | more

上面的例子已經涵蓋了大部分的選項，下面我針對每一個選項進行簡要解釋，并給出這個選項常用的值；

3、選項介紹

　　在命令行下可以使用tshark -help得到選項的簡單介紹，具體的需要查閱官方文檔https://www.wireshark.org/docs/man-pages/tshark.html

捕獲接口:-i: -i <interface> 指定捕獲接口，默認是第一個非本地循環接口;-f: -f <capture filter> 設置抓包過濾表達式，遵循libpcap過濾語法，這個實在抓包的過程中過濾，如果是分析本地文件則用不到。-s: -s <snaplen> 設置快照長度，用來讀取完整的數據包，因為網絡中傳輸有65535的限制，值0代表快照長度65535，默認也是這個值；-p: 以非混合模式工作，即只關心和本機有關的流量。-B: -B <buffer size> 設置緩沖區的大小，只對windows生效，默認是2M;-y: -y<link type> 設置抓包的數據鏈路層協議，不設置則默認為-L找到的第一個協議，局域網一般是EN10MB等; 　　-D: 打印接口的列表并退出; 　　-L?列出本機支持的數據鏈路層協議，供-y參數使用。 捕獲停止選項: 　　-c: -c <packet count> 捕獲n個包之后結束，默認捕獲無限個; 　　-a: -a <autostop cond.> ... duration:NUM，在num秒之后停止捕獲; 　　　　　　　　　　　　　　　　　　 filesize:NUM，在numKB之后停止捕獲; 　　　　　　　　　　　　　　　　　 files:NUM，在捕獲num個文件之后停止捕獲; 捕獲輸出選項: 　　-b <ringbuffer opt.> ... ring buffer的文件名由-w參數決定,-b參數采用test:value的形式書寫; 　　　　　　　　　　　　　　　　 duration:NUM - 在NUM秒之后切換到下一個文件; 　　　　　　　　　　　　　　　　 filesize:NUM - 在NUM KB之后切換到下一個文件; 　　　　　　　　　　　　　　　　 files:NUM - 形成環形緩沖，在NUM文件達到之后; RPCAP選項: 　　remote packet capture protocol，遠程抓包協議進行抓包； 　　-A: -A <user>:<password>,使用RPCAP密碼進行認證; 輸入文件: 　　-r: -r <infile> 設置讀取本地文件 處理選項: 　　-2: 執行兩次分析 　　-R: -R <read filter>,包的讀取過濾器，可以在wireshark的filter語法上查看；在wireshark的視圖->過濾器視圖，在這一欄點擊表達式，就會列出來對所有協議的支持。 　　-Y: -Y <display filter>,使用讀取過濾器的語法，在單次分析中可以代替-R選項; 　　-n: 禁止所有地址名字解析（默認為允許所有） 　　-N: 啟用某一層的地址名字解析。“m”代表MAC層，“n”代表網絡層，“t”代表傳輸層，“C”代表當前異步DNS查找。如果-n和-N參數同時存在，-n將被忽略。如果-n和-N參數都不寫，則默認打開所有地址名字解析。 　　-d: 將指定的數據按有關協議解包輸出,如要將tcp 8888端口的流量按http解包，應該寫為“-d tcp.port==8888,http”;tshark -d. 可以列出所有支持的有效選擇器。 　　 輸出選項: 　　-w: -w <outfile|-> 設置raw數據的輸出文件。這個參數不設置，tshark將會把解碼結果輸出到stdout,“-w -”表示把raw輸出到stdout。如果要把解碼結果輸出到文件，使用重定向“>”而不要-w參數。 　　-F: -F <output file type>,設置輸出的文件格式，默認是.pcapng,使用tshark -F可列出所有支持的輸出文件類型。 　　-V: 增加細節輸出; 　　-O: -O <protocols>,只顯示此選項指定的協議的詳細信息。 　　-P: 即使將解碼結果寫入文件中，也打印包的概要信息； 　　-S: -S <separator> 行分割符 　　-x: 設置在解碼輸出結果中，每個packet后面以HEX dump的方式顯示具體數據。 　　-T: -T pdml|ps|text|fields|psml,設置解碼結果輸出的格式，包括text,ps,psml和pdml，默認為text 　　-e: 如果-T fields選項指定，-e用來指定輸出哪些字段; 　　-E: -E <fieldsoption>=<value>如果-T fields選項指定，使用-E來設置一些屬性，比如 　　　　header=y|n 　　　　separator=/t|/s|<char> 　　　　occurrence=f|l|a 　　　　aggregator=,|/s|<char> 　　-t: -t a|ad|d|dd|e|r|u|ud 設置解碼結果的時間格式。“ad”表示帶日期的絕對時間，“a”表示不帶日期的絕對時間，“r”表示從第一個包到現在的相對時間，“d”表示兩個相鄰包之間的增量時間（delta）。 　　-u: s|hms 格式化輸出秒； 　　-l: 在輸出每個包之后flush標準輸出 　　-q: 結合-z選項進行使用，來進行統計分析； 　　-X: <key>:<value> 擴展項，lua_script、read_format，具體參見 man pages； 　　-z：統計選項，具體的參考文檔;tshark -z help,可以列出，-z選項支持的統計方式。 　　 其他選項: 　　-h: 顯示命令行幫助； 　　-v: 顯示tshark 的版本信息;

?4、部分命令測試

　　在第三節我簡要介紹了tshark相關的命令，在這一節我們主要測試幾個選項的輸出結果，來對命令加深理解。對于第三節的命令選項，比較重要的已經用藍色標出，方便查閱。

　　使用tshark對數據包進行分析，主要是對過濾器的學習，根據自己的需求寫出響應的過濾器，來得到相應的數據。

　　針對于我的需求，先抓包在分析，還想將命令行整合進java語言中，然后進行面向對象的分析，那么就需要一些特別的命令來獲取一些數據：

//1. 示例1，分析報文封裝的協議C:\Users\sdut>tshark -r H:\httpsession.pcap -T fields -e frame.number -e frame.protocols -E header=y--輸出　　frame.number??? frame.protocols1?????? eth:ethertype:ip:tcp2?????? eth:ethertype:ip:tcp3?????? eth:ethertype:ip:tcp4?????? eth:ethertype:ip:tcp:http5?????? eth:ethertype:ip:tcp6?????? eth:ethertype:ip:tcp:http:data-text-lines7?????? eth:ethertype:ip:tcp8?????? eth:ethertype:ip:tcp9?????? eth:ethertype:ip:tcp-e frame.number：顯示幀序號-e frame.time: 顯示時間，時間格式為 Sep 21, 2016 17:20:02.233249000 中國標準時間 -e frame.protocols: 顯示此數據包使用的協議-e ip.src: 顯示源ip，但是不能跟frame一起用-e ip.dst: 顯示目的ip地址；-e tcp.port: 顯示端口號。......還有很多，針對需求，一方面可以自己通過wireshark軟件顯示的頭部字段來猜測，另一方面可以查閱文檔，https://www.wireshark.org/docs/dfref/，這里面列出了所有支持的-e字段寫法，可以在里面搜索ip、frame上面我們使用的這幾個就會搜到。 //2.示例2C:\Users\sdut>tshark -2 -r H:\httpsession.pcap -R "http.request.line || http.file_data || http.response.line" -T fields -e http.request.line -e http.file_data -e http.response.line -E header=y輸出：該例子輸出http協議的請求頭，響應頭，和響應數據；http.request.line　　http.file_data　　http.response.line 　　......　　　　　　　　　　......　　　　　　...... 　　具體的這個-R過濾寫法，可以查看文檔，根據自己的需求來。https://wiki.wireshark.org/DisplayFilters //3.示例3 　　使用windows版本的tshark，抓包存儲到本地。每個包只讀取1024字節。 　　tshark -w E:/1015.pcap -s 1024 -i 本地連接 -q -F pcap ......

5、參考文獻

　　tshark官方文檔：https://www.wireshark.org/docs/man-pages/tshark.html

　　wireshark wiki：https://wiki.wireshark.org/

　　捕獲過濾器?https://wiki.wireshark.org/CaptureFilters

　　顯示過濾器，用于display過濾的字段可以通過https://wiki.wireshark.org/DisplayFilters?查詢。如果不過濾-e指定的字段數據都會輸出，通過-R過濾之后，只有滿足規則的才會輸出，會因此-R和-T、-e通常會一起使用。

　　統計：https://wiki.wireshark.org/Statistics

總結

以上是生活随笔為你收集整理的命令行工具tshark使用小记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。