tshark是wireshark命令行形式

tshark是wireshark命令行形式

 

1）指定要监听的接口

-i <接口名称>

比如-i eth2.如果不用-i指定监听的接口，则默认为接口列表中第一个非回环接口（-D打印接口列表）

2）可监听的接口列表

-D 打印接口列表

3）设置cap过滤条件

-f <过滤参数设置>

   A. 设置监听的协议类型：-f udp/tcp/http 注：协议类型必须为小写

   B. 设置源ip：            -f“src host x.x.x.x”

C. 设置源端口：              -f“src port xx”

D. 设置源ip和源端口：       -f “srchost x.x.x.x and src port xx”

E. 设置目的ip：             -f“dst host x.x.x.x”

F. 设置目的端口：        -f“dst port xx”

G. 设置目的ip和端口：       -f “dsthost x.x.x.x and port xx”

注：设置ip或端口时，必须用双引号

4）设置抓包数

   -c <包数量> ，比如-c 15 表示抓15个包就停止

5） 设置cap包容量

   -a filesize:NUM

其中NUM为filesize的包容量，用此命令需要用-w命令指定保存的文件包。NUM单位为KB

6）保存文件

-w <文件名称>

-w后面是要保存到的文件名字，也可以指定路径

7） 在屏幕中显示抓包的内容

 -S

8）指定数据包的最大长度

 -s <数据包长度>，单位为bytes