在 Wireshark 程序目錄中，包含兩個(gè)命令行捕獲工具。這兩個(gè)工具分別是 Dumpcap 和 Tshark。當(dāng)不能以圖形界面方式捕獲數(shù)據(jù)時(shí)，可以在命令行使用 dumpcap 或 tshark 程序?qū)嵤┎东@。

一、使用 Dumpcap 捕獲數(shù)據(jù)

執(zhí)行 dumpcap -h 可以查看參數(shù)詳情。

1、執(zhí)行?dumpcap -D?查看本機(jī)可用的接口。

D:\Program Files (x86)\Wireshark>dumpcap.exe -D 1. \Device\NPF_{ACEA0E58-E009-48BF-A484-A1366798B51D} (鏈湴榪炴帴* 3) 2. \Device\NPF_{BACE2AAC-EC26-4FC4-B385-DDAFE347F309} (VMware Network Adapter VMnet8) 3. \Device\NPF_{B038E4F2-4F55-43AD-9583-3D227791EB37} (鏈湴榪炴帴* 2) 4. \Device\NPF_{3866F6C2-1EFA-4A37-A62B-AE28EF24ABBD} (WLAN) 5. \Device\NPF_{9738C864-0A1F-490E-98FC-49B52AB40490} (VMware Network Adapter VMnet1) 6. \Device\NPF_{E4469318-F5DA-467C-AC80-7B4B91264577} (鏈湴榪炴帴) 顯示亂碼不要介意，可見當(dāng)前有6個(gè)接口。

2、捕獲數(shù)據(jù)。在捕獲數(shù)據(jù)時(shí)，可以使用-c 或 -a選項(xiàng)指定停止捕獲數(shù)據(jù)包的條件。本例中選擇捕獲第4個(gè)接口上的數(shù)據(jù)，并且當(dāng)捕獲文件達(dá)到1000KB時(shí)自動(dòng)停止捕獲。執(zhí)行命令如下所示。

D:\Program Files (x86)\Wireshark>dumpcap -i 4 -a filesize:1000 -w e:\file\Wireshark\1000kb.pcapng Capturing on 'WLAN' File: e:\file\Wireshark\1000kb.pcapng Packets captured: 1296 Packets received/dropped on interface 'WLAN': 1296/0 (pcap:0/dumpcap:0/flushed:0/ps_ifdrop:0) (100.0%) 從輸出的信息中可以看到捕獲的文件名、數(shù)據(jù)包數(shù)。

3、查看生成捕獲文件 100kb.pcapng 的大小。

D:\Program Files (x86)\Wireshark>dir e:\file\Wireshark\1000kb.pcapng驅(qū)動(dòng)器 E 中的卷是 文檔卷的序列號(hào)是 000F-D904e:\file\Wireshark 的目錄2016/03/01 18:58 1,000,676 1000kb.pcapng1 個(gè)文件 1,000,676 字節(jié)0 個(gè)目錄 13,512,331,264 可用字節(jié)

二、使用 Tshark 捕獲數(shù)據(jù)

Tshark 是依賴 dumpcap 捕獲數(shù)據(jù)的。可以通過?tshark -h?查看參數(shù)信息。操作如下：

1、打開終端

2、切換到 Wireshark 目錄。執(zhí)行?tshark -D?命令，查看可用的接口。

D:\Program Files (x86)\Wireshark>tshark -D 1. \Device\NPF_{ACEA0E58-E009-48BF-A484-A1366798B51D} (鏈湴榪炴帴* 3) 2. \Device\NPF_{BACE2AAC-EC26-4FC4-B385-DDAFE347F309} (VMware Network Adapter VMnet8) 3. \Device\NPF_{B038E4F2-4F55-43AD-9583-3D227791EB37} (鏈湴榪炴帴* 2) 4. \Device\NPF_{3866F6C2-1EFA-4A37-A62B-AE28EF24ABBD} (WLAN) 5. \Device\NPF_{9738C864-0A1F-490E-98FC-49B52AB40490} (VMware Network Adapter VMnet1) 6. \Device\NPF_{E4469318-F5DA-467C-AC80-7B4B91264577} (鏈湴榪炴帴) 3、開始捕獲數(shù)據(jù)。

D:\Program Files (x86)\Wireshark>tshark -i4 -a files:3 -b duration:10 -w e:\file\Wireshark\mytshark.pcapng Capturing on 'WLAN' 1808 以上命令表示指定捕獲4號(hào)接口，捕獲3個(gè)文件后自動(dòng)停止，10秒后捕獲下一個(gè)文件。

4、查看生成的捕獲文件。

D:\Program Files (x86)\Wireshark>dir e:\file\Wireshark\mytshark*驅(qū)動(dòng)器 E 中的卷是 文檔卷的序列號(hào)是 000F-D904e:\file\Wireshark 的目錄2016/03/01 19:17 22,396 mytshark_00001_20160301191653.pcapng 2016/03/01 19:17 753,168 mytshark_00002_20160301191703.pcapng 2016/03/01 19:17 282,500 mytshark_00003_20160301191713.pcapng3 個(gè)文件 1,058,064 字節(jié)0 個(gè)目錄 13,511,270,400 可用字節(jié)

三、使用捕獲過濾器

當(dāng)用戶在命令行捕獲數(shù)據(jù)時(shí)，可能只想捕獲特定的數(shù)據(jù)。

使用 Dumpcap 指定捕獲過濾器進(jìn)行數(shù)據(jù)捕獲。

D:\Program Files (x86)\Wireshark>dumpcap -i4 -f "tcp port 80" -w e:\file\Wireshark\port80.pcapng Capturing on 'WLAN' File: e:\file\Wireshark\port80.pcapng Packets captured: 287 Packets received/dropped on interface 'WLAN': 287/0 (pcap:0/dumpcap:0/flushed:0/ps_ifdrop:0) (100.0%) 輸出的信息顯示了捕獲的包數(shù)和捕獲文件名。執(zhí)行以上命令后，該程序不會(huì)自動(dòng)停止捕獲，需要按下 Ctrl + C 組合鍵停止。使用 Tshark 工具指定捕獲過濾器的參數(shù)和 Dumpcap 一樣，這里不再贅述。

四、使用顯示過濾器

在命令行中，使用的顯示過濾器比捕獲過濾器多。

1、使用捕獲過濾器捕獲所有 TCP 數(shù)據(jù)，并保存該捕獲文件為 tcp.pcapng。

D:\Program Files (x86)\Wireshark>tshark -i4 -f"tcp" -w e:\file\Wireshark\tcp.pcapng Capturing on 'WLAN' 529 2、使用-r參數(shù)讀取捕獲文件的ndash，使用-Y參數(shù)指定顯示過濾器，并使用-w參數(shù)指定保存的新捕獲文件。

D:\Program Files (x86)\Wireshark>tshark -r e:\file\Wireshark\tcp.pcapng -Y "tcp.analysis.flags" -w e:\file\Wireshark\analysisflags.pcapng 執(zhí)行以上命令后沒有任何輸出信息。但是會(huì)生成一個(gè)新的捕獲文件。

3、查看新捕獲文件的基本信息。

D:\Program Files (x86)\Wireshark>dir e:\file\Wireshark\analysisflags.pcapng驅(qū)動(dòng)器 E 中的卷是 文檔卷的序列號(hào)是 000F-D904e:\file\Wireshark 的目錄2016/03/01 19:31 228 analysisflags.pcapng1 個(gè)文件 228 字節(jié)0 個(gè)目錄 13,510,852,608 可用字節(jié) 創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)

總結(jié)

以上是生活随笔為你收集整理的Wireshark 命令行捕获数据的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。