安装
- Ubuntu安装
可能需要添加源
add-apt-repository ppa:wireshark-dev/stable
#开始安装 (会有提示,我选择的是允许root运行这个命令,为了日后方便)
apt-get update -y
apt-get install wireshark -y
apt-get -y install tshark
- Centos7下安装wireshark
yum install wireshark
yum install wireshark-gnome # 图像化
参数介绍
1. 抓包接口类
-i 设置抓包的网络接口,不设置则默认为第一个非自环接口。
-D 列出当前存在的网络接口。在不了解OS所控制的网络设备时,一般先用“tshark -D”查看网络接口的编号以供-i参数使用。
-f 设定抓包过滤表达式(capture filter expression)。抓包过滤表达式的写法雷同于tcpdump,可参考tcpdump man page的有关部分。
-s 设置每个抓包的大小,默认为65535,多于这个大小的数据将不会被程序记入内存、写入文件。(这个参数相当于tcpdump的-s,tcpdump默认抓包的大小仅为68)
-p 设置网络接口以非混合模式工作,即只关心和本机有关的流量。
-B 设置内核缓冲区大小,仅对windows有效。
-y 设置抓包的数据链路层协议,不设置则默认为-L找到的第一个协议,局域网一般是EN10MB等。
-L 列出本机支持的数据链路层协议,供-y参数使用。
2. 抓包停止条件
-c 抓取的packet数,在处理一定数量的packet后,停止抓取,程序退出。
-a 设置tshark抓包停止向文件书写的条件,事实上是tshark在正常启动之后停止工作并返回的条件。条件写为test:value的形式,如“-a duration:5”表示tshark启动后在5秒内抓包然后停止;“-a filesize:10”表示tshark在输出文件达到10kB后停止;“-a files:n”表示tshark在写满n个文件后停止。(windows版的tshark0.99.3用参数“-a files:n”不起作用——会有无数多个文件生成。由于-b参数有自己的files参数,所谓“和-b的其它参数结合使用”无从说起。这也许是一个bug,或tshark的man page的书写有误。)
3. 文件输出控制
-b 设置ring buffer文件参数。ring buffer的文件名由-w参数决定。-b参数采用test:value的形式书写。“-b duration:5”表示每5秒写下一个ring buffer文件;“-b filesize:5”表示每达到5kB写下一个ring buffer文件;“-b files:7”表示ring buffer文件最多7个,周而复始地使用,如果这个参数不设定,tshark会将磁盘写满为止。
4. 文件输入
-r 设置tshark分析的输入文件。tshark既可以抓取分析即时的网络流量,又可以分析dump在文件中的数据。-r不能是命名管道和标准输入。
5. 处理类
-R 设置读取(显示)过滤表达式(read filter expression)。不符合此表达式的流量同样不会被写入文件。注意,读取(显示)过滤表达式的语法和底层相关的抓包过滤表达式语法不相同,它的语法表达要丰富得多,请参考http://www.ethereal.com/docs/dfref/和http://www.ethereal.com/docs/man-pages/ethereal-filter.4.html。类似于抓包过滤表达式,在命令行使用时最好将它们quote起来。
-n 禁止所有地址名字解析(默认为允许所有)。
-N 启用某一层的地址名字解析。“m”代表MAC层,“n”代表网络层,“t”代表传输层,“C”代表当前异步DNS查找。如果-n和-N参数同时存在,-n将被忽略。如果-n和-N参数都不写,则默认打开所有地址名字解析。
-d 将指定的数据按有关协议解包输出。如要将tcp 8888端口的流量按http解包,应该写为“-d tcp.port==8888,http”。注意选择子和解包协议之间不能留空格。
6. 输出类
-w 设置raw数据的输出文件。这个参数不设置,tshark将会把解码结果输出到stdout。“-w-”表示把raw输出到stdout。如果要把解码结果输出到文件,使用重定向“>”而不要-w参数。
-F 设置输出raw数据的格式,默认为libpcap。“tshark -F”会列出所有支持的raw格式。
-V 设置将解码结果的细节输出,否则解码结果仅显示一个packet一行的summary。
-x 设置在解码输出结果中,每个packet后面以HEX dump的方式显示具体数据。
-T 设置解码结果输出的格式,包括text,ps,psml和pdml,默认为text。
-t 设置解码结果的时间格式。“ad”表示带日期的绝对时间,“a”表示不带日期的绝对时间,“r”表示从第一个包到现在的相对时间,“d”表示两个相邻包之间的增量时间(delta)。
-S 在向raw文件输出的同时,将解码结果打印到控制台。
-l 在处理每个包时即时刷新输出。
-X 扩展项。
-q 设置安静的stdout输出(例如做统计时)
-z 设置统计参数。
7. 其它
-h 显示命令行帮助。
-v 显示tshark的版本信息。
-o 重载选项。
#详细的参数示范
port 53:抓取发到/来自端口53的UDP/TCP数据流(典型是DNS数据流)
not port 53:抓取除了发到/来自端口53以外的UDP/TCP数据流
port 80:抓取发到/来自端口80的UDP/TCP数据流(典型是HTTP数据流)
udp port 67:抓取发到/来自端口67的UDP数据流(典型是DHCP据流)
tcp port 21:抓取发到/来自端口21的TCP数据流(典型是FTP命令通道)
portrange 1-80:抓取发到/来自端口1-80的所有UDP/TCP数据流
tcp portrange 1-80:抓取发到/来自端口1-80的所有TCP数据流
ip broadcast:抓取广播报文
ip multicast:抓取多播报文
dst host ff02::1:抓取到IPv6多播地址所有主机的数据流
dst host ff02::2:抓取到IPv6多播地址所有路由器的数据流
net 10.3.0.0/16:抓取网络10.3.0.0上发到/来自所有主机的数据流(16表示长度)
net 10.3.0.0 mask 255.255.0.0:与之前的过滤结果相同
ip[2:2]==<number>:ip报文大小
ip[8]==<number>:TTL(Time to Live)值
ip[9]==<number>:协议值
src host 10.3.1.1:抓取来自10.3.1.1的数据流
dst host 10.3.1.1:抓取发到10.3.1.1的数据流
host 10.3.1.1:抓取发到/来自10.3.1.1的数据流
ether dst 02:0A:42:23:41:AC:抓取发到02:0A:42:23:41:AC的数据流
not ether host 00:08:15:00:08:15:抓取除了发到/来自00:08:15:00:08:15以外的所有数据流
ether broadcast或ether dst ff:ff:ff:ff:ff:ff:抓取广播报文
ether multicast:多播报文
示范
实时打印当前http请求的url
tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -Y 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '\t'
[root@pa1 data]#tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -Y 'http.host and http.request.uri' -T fields -E separator='#' -E quote=d -e http.host -e http.request.uri -l | tr -d '\t'
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
"www.lijinghua.club"#"/"
"www.lijinghua.club"#"/"
"www.lijinghua.club"#"/"
"www.lijinghua.club"#"/"
"www.lijinghua.club"#"/"
5
-
参数含义:
-s 512 :只抓取前512个字节数据 -i eth0 :捕获eth0网卡 -n :禁止网络对象名称解析 -f 'tcp dst port 80' :只捕捉协议为tcp,目的端口为80的数据包 -R 'http.host and http.request.uri' :过滤出http.host和http.request.uri -T fields -e http.host -e http.request.uri :打印http.host和http.request.uri -l :输出到标准输出
实时打印当前mysql查询语句
tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query
-
参数含义:
-s 512 :只抓取前512个字节数据 -i eth0 :捕获eth0网卡 -n :禁止网络对象名称解析 -f 'tcp dst port 3306' :只捕捉协议为tcp,目的端口为3306的数据包 -R 'mysql.query' :过滤出mysql.query -T fields -e mysql.query :打印mysql查询语句
分析tcpdump导出的文件
tcpdump先导出文件
tcpdump -i eth0 -nnA 'port 80 and host 61.183.66.20' -w /data/80-$(date "+%Y%m%d%H%M%S").cap
[root@pa1 data]#tshark -r 80-20180307115118.cap
Running as user "root" and group "root". This could be dangerous.
1 0 111.199.90.171 -> 172.19.172.152 TCP 66 itm-mcell-u > http [SYN] Seq=0 Win=8192 Len=0 MSS=1452 WS=256 SACK_PERM=1
2 0 172.19.172.152 -> 111.199.90.171 TCP 66 http > itm-mcell-u [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0 MSS=1460 SACK_PERM=1 WS=128
3 0 111.199.90.171 -> 172.19.172.152 TCP 60 itm-mcell-u > http [ACK] Seq=1 Ack=1 Win=66560 Len=0
4 0 172.19.172.152 -> 100.100.36.6 TCP 74 55856 > http [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=3794442668 TSecr=0 WS=128
5 0 100.100.36.6 -> 172.19.172.152 TCP 66 http > 55856 [SYN, ACK] Seq=0 Ack=1 Win=14600 Len=0 MSS=1444 SACK_PERM=1 WS=128
6 0 172.19.172.152 -> 100.100.36.6 TCP 54 55856 > http [ACK] Seq=1 Ack=1 Win=29312 Len=0
7 0 172.19.172.152 -> 100.100.36.6 TCP 330 [TCP segment of a reassembled PDU]
8 0 172.19.172.152 -> 100.100.36.6 TCP 7274 [TCP segment of a reassembled PDU]
9 0 172.19.172.152 -> 100.100.36.6 HTTP 704 POST /agent/metrics/putLines HTTP/1.1 Continuation or non-HTTP traffic
10 0 100.100.36.6 -> 172.19.172.152 TCP 54 http > 55856 [ACK] Seq=1 Ack=277 Win=15744 Len=0
11 0 100.100.36.6 -> 172.19.172.152 TCP 54 http > 55856 [ACK] Seq=1 Ack=1721 Win=18688 Len=0
· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·
其他用法
实时打印当前memcached信息
tshark -i em1 -n -Y 'memcache'
实时打印当前RabbitMQ信息
tshark -i em1 -n -Y 'amqp'
实时打印当前MongoDB信息
tshark -i em1 -n -f 'port mongoDBPort' -Y 'mongo'
实时打印所有关于信息
tshark -i eth0 -f 'dst host 10.249.7.99' -s 0 -l -w - |strings