wireshark类型指令

2019-09-28 本文已影响0人 Then丶

pkt_comment过滤没有注释的包。

frame contains "X-Slogan" 查看隐藏在wen浏览会话中的数据。

捕获文件的基本信息：

C:\Users\Administrator>cd /d d:

D:\>cd wireshark

分割文件

D:\wireshark>editcap -c 1000 n4.pcapng aset.pcapng

基于时间方式分割文件

editcap -i 360 time.pcapng timeset.pcapng

捕获文件为文件集

capinfos filename.pcapng

过滤器

tcp.analysis.flags && !tcp.analysis.window_update

合并多个捕获文件

mergecap -w http.pcapng port*.*

查看分割生成的文件集

D:\wireshark>dir aset*.*

使用Dumpcaphe捕获数据

dumpcap -D 查看本机可用的接口

捕获数据时可以使用-a 或 -c选项指定停止捕获数据包的条件

dumpcap -i 4 -a filesize:1000 -w 1000kb.pcapng

-i 4 指定捕获接口4数据

-a filesize:1000 捕获文件大小为1000kb时自动停止捕获

-w 1000kb.pcapng 表示指定捕获的文件名称为1000kb.pcapng

使用Tshark捕获数据

当命令行 Tshark-c 100-w 10.pcapng时实际上时dumpcap

Tshark可以使用&ndash

捕获过程中可以使用<host file>选项

Tshark可以处理已存在的捕获文件

Tshark 使用显示过滤器处理已存在的捕获文件

Tshark -r http.pcapng -Y "ip.addr == 192.168.0.104" -w myhttp.pcapng

捕获新文件的基本信息

dir filename

导出字段值

导出主机 “ip” 端口80的帧编号、源ip、目标ip、TCP窗口大小的字段值

tshark -i4 -f "dst port 80 and host 192.168.0.3" -T fields -e frame.number -e ip.src -e ipdst -e tcp.window_size

导出HTTP包的host字段值导入一个文本中

tshark -i 4 -Y "http.host" -T fields -e http.host > httphosts.txt

导出数据统计 Tshark -z可以查看大量数据的统计信息如果不想在屏幕上显示每个帧则使用-q

查看协议分层统计信息

tshark -i 4 -qz io,phs ( > a.txt)

用户提取专家信息中的notes信息 -r实现

tshark -r "http.pcapng" -qz expert,notes