tshark

tshark - 转储和分析网络流

概要

tshark的 [  -2  ] [  -a  ] ... [  -b  ] ... [  -B  ] [  -c  ] [  - ?  ] [  -d   == ，] [  -D  ] [  -e  ] [  -E  ] [  -f  ] [  -F  ] [  -g  ] [  -h ] [  -H  ] [  -i   | - ] [  -I  ] [  -K  ] [  -l  ] [  -L  ] [  -n  ] [  -N  ] [  -o  ] ... [  -O  ] [  -p  ] [  -P  ] [  -q  ] [  -Q  ] [  -r  ] [  -R  ] [  -s  ] [  -S  ] [  -t  一个|广告| adoy | D | DD | E | - [R | U | UD | udoy] [  -T  领域| PDML | PS | PSML |文] [  -u  ] [  -v  ] [  -V  ] [  -w   | - ] [  -W  ] [  -x  ] [  -X ] [  -y  ] [  -Y  ] [  -z  ] [  --capture注释   ] []

tshark -G [column-formats|currentprefs|decodes|defaultprefs|fields|ftypes|heuristic-decodes|plugins|protocols|values]

 

说明

tshark的是一个网络协议分析仪。它可以让你从现场的网络捕获的数据包，或从以前保存的文件中读取数据包，无论是打印这些数据包发送到标准输出的解码形式或写入数据包到一个文件中。 tshark的 “原生捕捉文件格式是PCAP格式，这也是所使用的格式tcpdump的和各种其它的工具。

不带任何选项设定，tshark的将工作很像tcpdump的。它将使用PCAP库来从第一个可用的网络接口捕获流量，并显示在stdout为每个接收到的分组的摘要线。

tshark的是能够检测，读取和写入由支持在同一捕获文件Wireshark的。输入文件并不需要特定的文件扩展名; 文件格式和一个可选的gzip压缩将被自动检测到。邻近的描述部分开头的wireshark（1）或 http://www.wireshark.org/docs/man-pages/wireshark.html 是的方式的详细描述Wireshark的处理这一点，这是相同的方式tshark的手柄这一点。

压缩文件支持使用（因此要求）zlib库。如果zlib库不存在，tshark的编译，但将无法读取压缩文件。

如果-w没有指定选项，tshark的写到标准输出它捕获或读取数据包的解码格式的文本。如果-w指定选项，tshark的写入由该选项与数据包的时间标记所指明的分组的原始数据，沿该文件。

当写数据包的解码形式，tshark的写道，在默认情况下，包含由首选项文件中指定的字段（这也是包列表窗格中显示的字段摘要行Wireshark的），但如果它的写数据包，它捕捉他们，而不是从已保存的捕获文件写入数据包，它不会显示在“帧号”字段。如果-V指定选项时，将它写入代替的分组的细节，示出在分组的所有协议的所有字段的图。如果-O指定选项时，将只显示指定的完整协议。使用“输出tshark的-G协议 “找到可以指定的协议的缩写。

如果你想要写数据包的解码形式到一个文件，运行 tshark的无-w选项，并重定向其标准输出到文件（也不能使用-w选项）。

当数据包写入到文件中，tshark的，默认情况下，写在文件PCAP格式，并写入所有它认为到输出文件中的数据包。该-F选项可用于指定在其中写入该文件的格式。显示的可用文件格式此列表-F没有价值的标志。但是，你不能指定一个实时捕获的文件格式。

阅读中的过滤器tshark的，这可以让你选择哪些数据包需要被解码或者写入文件，是非常强大的;