tshark - 转储和分析网络流
概要
说明
不带任何选项设定,tshark的将工作很像tcpdump的。它将使用PCAP库来从第一个可用的网络接口捕获流量,并显示在stdout为每个接收到的分组的摘要线。
的wireshark(1)
https://www.wireshark.org/docs/man-pages/wireshark.html
压缩文件支持使用(因此要求)zlib库。如果zlib库不存在,tshark的编译,但将无法读取压缩文件。
如果-w没有指定选项,tshark的写到标准输出它捕获或读取数据包的解码格式的文本。如果-w指定选项,tshark的写入由该选项与数据包的时间标记所指明的分组的原始数据,沿该文件。
不能使用-w选项)。
当数据包写入到文件中,tshark的,默认情况下,写在文件PCAP格式,并写入所有它认为到输出文件中的数据包。该-F选项可用于指定在其中写入该文件的格式。显示的可用文件格式此列表-F没有价值的标志。但是,你不能指定一个实时捕获的文件格式。
选项
- -2
-
执行两遍分析。这会导致tshark的缓冲输出,直到整个第一遍已完成,但允许它填入需要未来知识领域,如字段'在帧#响应“。还允许将正确计算重组帧依赖性。
- -a <捕捉自动停止条件>
-
设置一个标准,指定当tshark的是停止写入捕捉文件。标准是的形式测试:ֵ,其中测试是下列之一:
持续时间:ֵ停止写入捕捉文件后价值秒钟过去了。
作品尺寸:ֵֵ
文件:ֵ停止写入捕捉文件后,ֵ被写入文件的数量。
- -b <捕捉环形缓冲区选项>
-
所创建的文件名 ??是基于与给定的文件名-w选项,文件的数目和在创建日期和时间,例如outfile_00001_20050604120117.pcap,outfile_00002_20050604120523.pcap,...
随着文件选项它也可能形成一个“环形缓冲区”。这将填充新文件,直到指定的文件的数量,在该点tshark的将丢弃该数据的第一个文件中和将数据写入该文件等等。如果文件没有设置选项,新文件填充,直到捕获停止条件匹配一个(或直到磁盘已满)。
该标准的形式是关键:ֵ,其中关键的是下列之一:
持续时间:ֵ切换到后的下一个文件的值秒后,即使当前文件没有完全填满。
作品尺寸:ֵ的价值
文件:ֵ再次与第一个文件开始后的价值
例如:-b作品尺寸:1000 -b文件:5的结果在每个大小为一兆五档环形缓冲区。
- -B <捕获缓冲区大小>
-
设置捕获缓冲区大小(以MIB,默认为2 MIB)。此所使用的捕获驱动程序缓冲的分组数据,直到该数据可以被写入到磁盘。如果捕捉时碰到丢包现象,可以尝试增大它的大小。需要注意的是,虽然tshark的试图通过默认设置缓冲区大小为2 MIB,并且可以被告知将它设置为一个更大的值,系统或接口上你捕获可能默默地限制捕获缓冲区大小为较低的值或它提升到一个更高的值。
这是用于UNIX系统与libpcap的1.0.0或更高版本和Windows。它不适用于UNIX系统的早期版本的libpcap的。
这个选项可以出现多次。如果第一次出现之前使用-i选项,它设置默认捕获缓冲区大小。如果使用后-i选项,它设置捕获缓冲区大小由过去的指定的接口-i此选项之前发生的选项。如果捕获缓冲区大小没有特别设定,默认捕获缓冲区大小来代替。
- -c <捕获的数据包数>
-
设置数据包捕获实时数据时,读取的最大数量。如果读一个捕获文件,设置数据包要读取的最大数量。
- -C <配置文件>
-
与给定的配置文件运行。
- -d <层型> == <选择>,<译码作为协议>
-
例如:-d tcp.port == 8888,HTTP将解码运行在TCP端口8888作为HTTP的流量。
例如:-d tcp.port == 8888:3,HTTP将解码运行在TCP端口8888,8889或8890作为HTTP的流量。
例如:-d tcp.port == 8888-8890,HTTP将解码运行在TCP端口8888,8889或8890作为HTTP的流量。
使用无效的选择器或协议将打印出有效的选择器和协议名称的列表,分别。
例如:。-d是一个快速的方法来获得有效的选择列表。
例如:。-d以太== 0x0800的是一个快速的方法来获得可以与以太网类型选择协议的列表。
- -D
-
打印接口上的列表tshark的可以捕捉,并退出。每个网络接口,一个数字和一个接口名,可能紧跟在界面的文本描述,被打印。接口名称或数量可以提供给-i选项指定要在其上捕捉的接口。
需要注意的是“可以捕获”是指tshark的是能够打开设备进行实时捕捉。根据您的系统,你可能需要从具有特殊权限的帐户下运行tshark的(例如,作为root)才能够捕获网络流量。如果tshark的-D不是从这样的帐户下运行,它不会显示任何接口。
- -e <现场>
-
添加一个字段,字段列表显示,如果-T领域被选中。这个选项可以在命令行上多次使用。如果该至少一个字段必须提供-T字段选项被选中。列名可以使用前缀“_ws.col。”
例如:-e frame.number -e ip.addr -e UDP -e _ws.col.info
- -E <现场打印选项>
-
设置选项控制领域的印刷时-T领域被选中。
选项??有:
- -f <捕获过滤器>
-
设置捕捉过滤器表达式。
这个选项可以出现多次。如果第一次出现之前使用-i选项,它设置默认的捕获过滤器表达式。如果使用后-i选项,它为在最后指定的接口捕获过滤表达式-i此选项之前发生的选项。如果捕获过滤器表达式没有设置具体而言,如果所提供的默认捕获筛选表达式中使用。
- -F <文件格式>
- -g
-
此选项会导致输出文件(S)同组读取权限(即输出文件(S)可以由主叫用户所在组的其他成员被读取)创建。
- -G [column-formats|currentprefs|decodes|defaultprefs|fields|ftypes|heuristic-decodes|plugins|protocols|values]
-
该-G选项将导致tshark的转储几种类型的词汇表,然后退出之一。如果没有指定具体的词汇类型,那么场报告会默认生成。
可用的报告类型包括:
列格式通过转储tshark的理解列的格式。有每行一个记录。这些字段是制表符分隔。
*字段1 =格式字符串(如“%RD”) *字段2 =格式字符串的文字说明(如“目的端口(解决)”)
解码转储“图层类型”/“解码为”协会标准输出。有每行一个记录。这些字段是制表符分隔。
*字段1 =层类型,例如“tcp.port” *字段2 =选择十进制 *字段3 =“解码为”名称,如“HTTP”
*协议 * --------- *字段1 ='P' *字段2 =描述协议名称 *现场3 =协议的缩写 * *头字段 * ------------- *字段1 ='F' *字段2 =描述字段名 *现场3 =现场缩写 *字段4 =类型(ftenum类型的文字表述) *字段5 =父协议的缩写 *字段6 =基地显示器(整数类型); “父位字段宽度”为FT_BOOLEAN *字段7 =掩码:格式:十六进制:0X .... *字段8 = Blurb的描述场
ftypes通过转储tshark的理解“ftypes”(基本类型)。有每行一个记录。这些字段是制表符分隔。
*字段1 = FTYPE(如“FT_IPv6”) *字段2 =类型的文字说明(如“IPv6地址”)
启发式解码转储启发式当前安装的解码。有每行一个记录。这些字段是制表符分隔。
*字段1 =底层剥离(如“TCP”) *字段2 =启发式解码器(如UCP“)的名称 *现场3 =启发式启用(如“T”或“F”)
插件目前转储安装的插件。有每行一个记录。这些字段是制表符分隔。
*字段1 =插件库(如“gryphon.so”) *字段2 =插件版本(例如0.0.4) *现场3 =插件类型(如“剥离”或“点击”) *字段4 =完整路径插件文件
协议转储在注册数据库到标准输出协议。一个独立的程序可以借此输出格式化成漂亮的表或HTML或什么的。有每行一个记录。这些字段是制表符分隔。
*字段1 =协议名称 *字段2 =协议简称 *现场3 =协议过滤器名称
值转储value_strings,range_strings或真/假字符串有他们的字段。有每行一个记录。字段都是用制表符分隔。有三种类型的记录:值的字符串,字符串范围和真/假的字符串。第一字段,“V”,“R”或“T”,表示记录的类型。
*字符串值 * ------------- *字段1 ='V' *字段2 =字段的缩写来此字符串值对应 *现场3 =整数值 *字段4 =字符串 * *范围弦乐 * ------------- *字段1 ='R' *字段2 =字段的缩写来此范围对应的字符串 *现场3 =整数值:下限 *字段4 =整数值上限 *字段5 =字符串 * *真/假弦乐 * ------------------ *字段1 ='T' *字段2 =字段以缩写此真/假对应的字符串 *字段3 = TRUE字符串 *字段4 =假字符串
- -h
-
打印版本和选项,然后退出。
- -H <输入hosts文件>
-
阅读条目列表从“hosts”文件,然后将被写入捕获文件。意味着-W?。可多次调用。
- -i <捕捉接口> | -
-
设置网络接口或管道的名称,用于现场数据包捕获。
管道名即可以是FIFO(命名管道)的名称或`` - ''从标准输入读取数据。从管道读取的数据必须是标准的PCAP格式。
这个选项可以出现多次。当从多个接口捕获,捕获文件将被保存在PCAP-ng的格式。
注:Win32版本的tshark的不支持从管道捕捉!
- -I
-
需要注意的是在监控模式适配器可能撇清与从它的关联,这样你就不能使用任何无线网络与该适配器的网络。这可能会阻止访问网络服务器上的文件,或解析主机名或网络地址,如果捕获在监控模式和未连接到另一个网络的另一个适配器。
这个选项可以出现多次。如果第一次出现之前使用-i选项,它使显示器模式,所有接口。如果使用后-i选项,它使监控模式由过去的指定的接口-i此选项之前发生的选项。
- -K <密钥表>
-
负载的Kerberos从指定的密钥表文件中的加密密钥。此选项可以多次使用,以从多个文件加载密钥。
例如:-K krb5.keytab
- -l
-
管道的输出时,这可能是有用的tshark的另一方案,因为它意味着以该输出通过管道程序将尽快看到的解剖数据分组tshark的看到该分组,并产生输出,而不是看它只有当包含数据的标准输出缓冲区填满。
- -L
-
列出了由接口和出口所支持的数据链路的类型。所报告的链接类型可用于-y选项。
- -n
- -N <名称解析标志>
-
打开名称仅用于特定类型的地址和端口号的解析,与名称解析为其他类型的地址和端口号的关闭。该标志覆盖-n如果两个-N和-n存在。如果两个-N和-n标志不存在,所有的域名解析被打开。
的说法是,可能包含字母的字符串:
启用并发(异步)DNS查询
米启用MAC地址解析
启用网络地址解析
使使用外部解析器(如DNS)的网络地址解析
牛逼使传输层端口号决议
- -o <偏爱>:<值>
-
设置首选项值,覆盖默认值和偏好文件中读取任意值。的参数的选择是以下形式的字符串:ֵ,其中Ϊprefname是偏好(这是将出现在首选项文件名 ??称相同)的名称,并且ֵ是其应该被设置的值。
- -O <协议>
-
类似-V选项,但会导致tshark的,只显示的逗号分隔的列表的详细视图的协议
- -p
-
不要
- -P
-
解码并显示该分组摘要,即使使用写入原始分组数据-w选项。
- -q
- -Q
-
当捕捉数据包,只显示真正的错误。这种输出小于-q选项,所以接口名称和总包数和捕获的结束不会被发送到标准错误。
- -r <INFILE>
-
读取数据包INFILE,可以是任何支持的捕捉文件格式(包括gzip压缩文件)。也可以使用命名管道或标准输入( - )在这里,但只能使用特定的(未压缩的)捕获的文件格式(特别是:那些可无求向后读取)。
- -R <阅读过滤器>
-
原因指定的过滤器(它使用的读/显示过滤器的语法,而不是捕获过滤器)分析第一遍期间应用。包不匹配的过滤器不考虑未来的通行证。不仅使多传球意识,看到-2。对于单通解剖常规过滤看到-Y替代。
需要注意的是前瞻性领域如'响应于帧#'不能与该过滤器使用的,因为它们不会一直计算当该过滤器被应用。
- -s <捕获的Snaplen>
-
设置默认的快照长度捕捉现场数据时使用。不超过的Snaplen
这个选项可以出现多次。如果第一次出现之前使用-i选项,它设置默认的快照长度。如果使用后-i选项,它设置快照长度由过去的指定的接口-i此选项之前发生的选项。如果快照长度未设置具体地,如果所提供的默认快照长度被使用。
- -S <分隔符>
-
设置在线分离器包之间进行打印。
- -ta |广告| adoy | D | DD |电子| R | U | UD | udoy
-
设置分组时间戳打印在总结行的格式。该格式可以是以下之一:
一个绝对:绝对时间,在时区的本地时间,是数据包捕获的实际时间,并显示没有日期
广告绝对与日期:绝对日期,显示为YYYY-MM-DD和时间,在时区的本地时间,就是实际的时间和日期的数据包被抓获
adoy绝对有使用日期一年中的一天:绝对日期,显示为YYYY / DOY和时间,在时区的本地时间,就是实际的时间和日期的数据包被抓获
e增量:增量时间是因为前一个数据包被抓获
时代:纪元以来以秒为单位的时间(1970年1月1日00:00:00)
相对:相对时间的第一分组和当前分组之间的时间间隔
默认格式是相对的。
- -T领域| PDML | PS | PSML |文
-
查看解码的分组数据时设置输出格式。选项??有之一:
字段与指定字段的值-e选项,由指定的形式-E选项。例如,
-T领域-E隔膜=,-E报价= D
将生成逗号分隔值(CSV)输出适合导入到自己喜欢的电子表格程序。
PDML包详情标记语言,用于解码分组的细节基于XML的格式。此信息相当于印有该分组细节-V标志。
的ps的PostScript对于每个数据包,或各分组的,这取决于是否在的细节的多线图的人类可读一行摘要-V指定标志。
PSML分组摘要标记语言,用于解码分组的摘要信息的基于XML的格式。此信息相当于在一行摘要默认打印出的信息。
文本中的每个报文,或各分组的,这取决于是否在的细节的多线图的人类可读一行摘要文本-V指定标志。这是默认的。
- -u <秒类型>
-
指定秒的类型。有效的选择是:
s为秒
HMS的小时,分钟和秒
- -v
-
打印版本和退出。
- -V
-
原因tshark的要打印的数据包详细信息视图。
- -w <OUTFILE> | -
-
写入原始分组数据OUTFILEOUTFILE为“ - ”。
- -W <文件格式选项>
-
保存在文件中的额外信息,如果该格式支持它。例如,
-F pcapng -W?
将节省主机名解析记录以及捕获的数据包。
的说法是,可能包含了下面这封信的字符串:
写网络地址解析信息(仅pcapng)
- -x
-
引起tshark的到打印摘要和/或细节后打印分组数据的一个十六进制和ASCII转储,如果有一个也被显示。
- -X <分机选项>
-
指定要传 ??递给一个选项tshark的模块。扩展选项的形式:ֵ,其中extension_key可以是:
lua_script:lua_script_filename告诉tshark的加载,除了默认的Lua脚本给定的脚本。
NUM:参数告诉tshark的给定参数传递给确定的“民”,这是“lua_script'命令的数量索引顺序LUA脚本。例如,如果只有一个脚本加载“-X lua_script:my.lua',然后'-X lua_script1:富'将字符串'富'传递给'my.lua'脚本。如果装了两个脚本,如“-X lua_script:my.lua”和“-X lua_script:other.lua”的顺序,那么“-X lua_script2:酒吧”将通过字符串'酒吧'到第二LUA脚本,即“other.lua”。
read_format:file_format告诉tshark的使用给定的文件格式读取该文件(在给定的文件中-r命令选项)。提供了无file_format参数,或者一个无效,会产生可用的文件格式使用的文件。
- -y <捕获链接类型>
-
设置捕捉包中数据链接类型。所报告的值-L是可以被使用的值。
这个选项可以出现多次。如果第一次出现之前使用-i选项,它设置默认的捕捉链路类型。如果使用后-i选项,它设置了由过去的指定接口捕获链路类型-i此选项之前发生的选项。如果捕获链路类型没有设置具体地,如果所提供的默认捕获链路类型被使用。
- -Y <显示过滤器>
-
使用此,而不是-R使用单通分析滤波。如果这样做两遍分析(见-2)然后只包匹配的读取滤波器(如果有的话)将被针对该过滤器进行检查。
- -z <统计>
-
获取tshark的收集各类统计和整理显示读取捕获文件后的结果。使用-q标志,如果你正在读一个捕获文件,只希望打印的统计数据,没有任何每个数据包的信息。
目前实施的统计数据是:
- -z帮助
-
显示所有可能的值-z。
- -z法新社,SRT [,过滤器
- -z骆驼,SRT
- -z比较,启动,ֹͣ,,,方差过滤器
-
如果可选的过滤器指定,只有那些符合过滤器的数据包将被计算中使用。
- 类型过滤器
-
类型
“ETH”以太网地址 “FC”光纤通道地址 “FDDI”FDDI地址 “IP”IPv4地址 “IPv6的”IPv6??地址 “IPX”IPX地址 “TCP”TCP / IP套接字对IPv4和IPv6的支持 “TR”令牌环地址 “UDP”UDP / IP套接字对IPv4和IPv6的支持
如果可选的过滤器指定,只有那些符合过滤器的数据包将被计算中使用。
表呈现一行的每个会话,并显示的包/字节在每个方向上的数目以及包/字节的总数。表被按照帧的总数量来分类。
- UUID,大,小的过滤器
-
UUID,版本主要。次要。所收集的数据是呼叫的每一道工序,MinSRT,MaxSRT和AvgSRT的数量。
例如:-z DCERPC,SRT,12345778-1234-ABCD-ef00-0123456789ac,1.0将收集的CIFS SAMR接口的数据。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。
例如:-z DCERPC,SRT,12345778-1234-ABCD-ef00-0123456789ac,1.0,ip.addr == 1.2.3.4将收集特定主机SAMR SRT统计。
- -z直径,AVP [,cmd.code,场,场,...
-
此选项允许提取大量捕捉文件最重要的直径领域。恰好一个文本行用于与匹配每个直径消息diameter.cmd.code将被打印。
空直径命令代码或“*”可被规定为马赫任何diameter.cmd.code
提取直径CC的消息最重要的领域:
tshark的-r file.cap.gz -q -z diameter,avp,272,CC-Request-Type,CC-Request-Number,Session-Id,Subscription-Id-Data,Rating-Group,Result-Code
以下字段将打印出的每个直径的消息:
“帧”帧号。 “时间”框架到达Unix时间。 “SRC”源地址。 “srcport”源端口。 “DST”目标地址。 “dstport”目标端口。 “原”恒串“直径”,它可以用于tshark的输出的后处理。例如grep的/ sed的/ AWK。 “msgnr”序列。在框架内直径消息的数目。例如“2”为在同一帧中的第三直径的消息。 “is_request”'0',如果消息是一请求,'1',如果消息是一个答案。 “CMD”diameter.cmd_code,如'272'的信贷控制消息。 “req_frame”框架相匹配的地方要求被发现或数字“0”。 “ans_frame”框架,其中匹配的答案被发现或数字“0”。 万一“resp_time”以秒响应时间,“0”,如果没有在跟踪中找到匹配的请求/应答。例如,在开始或捕获结束。
-z直径,AVP选项比快得多-V -T文本或-T PDML选项。
-z直径,AVP选项比功能更强大-T场和-z原,COLINFO选项。
在一帧中的多个直径的消息的支持。
几个字段与在一个直径消息同名的支持,如diameter.Subscription-ID-数据或diameter.Rating-集团。
注:tshark的-q选项,建议取消默认tshark的输出。
- ,误差|,警告|,注意|,聊天,过滤器
-
收集所有的信息专家信息,并显示它们顺序,按严重程度分组。
例如:-z专家,SIP将显示所有严重性专家项符合SIP协议的帧。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。
例如:-z“专家,笔记,TCP”只会收集专家项框架,包括TCP协议,用音符或更高的严重程度。
- -z跟随,PROT,ģʽ,ɸѡ,范围
-
显示两个节点之间的TCP或UDP数据流的内容。由第二节点发送的数据的前缀选项卡以从由所述第一节点发送的数据区分开。
PROT
ģʽ
由于在输出ASCII模式可以包含换行符,输出端加一个换行符的每个部分的长度先输出的每一部分。
过滤
范围任选指定该流的“块”应显示。
例如:-z“跟随,TCP,六角,1”将在“六角”格式显示所述第一TCP数据流的内容。
================================================== ================= 遵循:TCP,十六进制 过滤器:tcp.stream EQ 1 节点0:200.57.7.197:32891 节点1:200.57.7.198:2906 00000000 00 00 00 22 00 00 00 07 00 85 0A 07 02 00 E9 02 ......“.... ........ 00000010 07 06 E9 00 0F 00 0D 04 00 00 00 01 00 03 00 06 ........ ........ 00000020 1F 00 06 04 00 00 ...... 00000000 00 01 00 00 .... 00000026 00 02 00 00
例如:-z“跟着,TCP,ASCII,200.57.7.197:32891,200.57.7.198:2906”显示200.57.7.197端口32891和200.57.7.98端口2906之间的TCP流的内容。
================================================== ================= 遵循:TCP,ASCII 过滤器:(省略可读性) 节点0:200.57.7.197:32891 节点1:200.57.7.198:2906 38 ......“...... ................ 4 ....
- ,过滤器
-
算上ITU-T H.225消息及其原因。在第一列中你得到H.225消息和H.225消息的原因,这发生在当前捕捉文件的列表。出现每个消息或原因的数目被显示在第二列中。
例如:-z H225,计数器。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。例如:使用-z“H225,计数器,ip.addr == 1.2.3.4”只收集统计信息在IP地址1.2.3.4交换主机H.225包。
这个选项可以在命令行上多次使用。
- ,过滤器
-
收集的请求/响应SRT(服务响应时间)数据ITU-T H.225 RAS。收集的数据是每个ITU-T H.225 RAS消息类型的电话,最小SRT,最大SRT,平均SRT,最小的包,并在最大的数据包数量。您也将获得打开请求的数量(Unresponded请求),废旧反应(反应没有匹配的要求),并重复的消息。
例如:-z H225,SRT
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。
例如:-z“H225,SRT,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换由主机ITU-T H.225 RAS包。
- -z寄主,IPv4的] [,IPv6的]
-
转储收集任何IPv4和/或IPv6地址中的“主机”的格式。IPv4和IPv6地址默认情况下倾倒。
地址是从多个来源,包括标准的“hosts”文件和捕获的流量收集。
-
计算HTTP统计分布。显示的值是HTTP状态码和HTTP请求的方法。
-
计算HTTP数据包分配。显示的值是HTTP请求模式和HTTP状态代码。
-
通过计算服务器的HTTP请求。显示的值是服务器名称和URI路径。
-
计算的HTTP请求和响应通过服务器。为HTTP请求,显示的值是服务器的IP地址和服务器的主机名。为HTTP响应,显示的值是服务器的IP地址和状态。
- 过滤器
-
计算总ICMP回应请求,应答的损失,并%的损失,以及最大值,最小值,平均值,中位数和样本标准差SRT统计典型什么平提供。
例如:-z ICMP,SRT,ip.src == 1.2.3.4将收集的ICMP回应请求数据包从一个特定的主机发出ICMP SRT的统计数据。
这个选项可以在命令行上多次使用。
- -z的ICMPv6,SRT [,过滤器
-
计算总的ICMPv6回显请求,应答的损失,并%的损失,以及最大值,最小值,平均值,中位数和样本标准差SRT统计典型什么平提供。
例如:-z的ICMPv6,SRT,ipv6.src == FE80 :: 1将收集的ICMPv6回送请求数据包从一个特定主机发起的ICMPv6 SRT的统计数据。
这个选项可以在命令行上多次使用。
- 过滤器
-
创建协议层次统计,列出两个数据包数量和字节。如果没有过滤器指定的统计信息将被计算所有数据包。如果过滤器是特定的统计数据将只计算那些匹配过滤器的报文。
这个选项可以在命令行上多次使用。
- 区间过滤器过滤器过滤器
-
间隔间隔可以指定为一个整数或分数第二,可以用微秒(我们)分辨率进行指定。如果间隔为0,则统计数据将被计算在所有的数据包。
如果没有过滤器指定的统计信息将被计算所有数据包。如果一个或多个滤波器是特定的统计将被计算为所有的过滤器和带有统计每个滤波器的一列。
这个选项可以在命令行上多次使用。
例如:-z IO,统计,1,ip.addr == 1.2.3.4会产生向/从主机1.2.3.41秒统计所有流量。
例如:-z“IO,统计,0.001,SMB && ip.addr == 1.2.3.4”将产生的所有SMB数据包到/从主机1.2.3.4 1ms的统计数据。
以上所有的例子都使用标准的语法,用于产生统计仅计算在每个时间间隔的数据包和字节数。
IO,统计还可以做更多的统计和计算
,
,
,
AVG()
和load()的
使用略有不同的过滤器语法: - -z IO,统计,区间,“[COUNT | SUM | MIN | MAX | AVG | LOAD](场)过滤器
-
注:一件重要的事情,这里要注意的是,过滤器是不可选的,并且该计算是基于该领域必须是过滤字符串或计算将失败的一部分。
所以:-z IO,统计,0.010,AVG(smb.time)不起作用。使用-z IO,统计,0.010,AVG(smb.time)smb.time代替。另外要注意,一个领域可以存在多次同样的包内,在这些数据包将被计算多次。
注:第二个重要的一点要注意的是,该系统设置小数点分隔符必须设置为“。”!如果它被设置为“”的统计将不会每滤波器显示。
COUNT(场)滤波器名称场
例如:-z IO,统计,0.010,“COUNT(smb.sid)smb.sid”
这将计数见于每10ms的间隔的SID的总数。
SUM(场)过滤器ֵ场
例如:-z IO,统计,0.010,“SUM(frame.len)frame.len”
报告中双向传输的所有数据包,一个10毫秒的时间间隔内的总字节数。
最小/最大/平均值(场)滤波器
在下面的例子中,第一Read_AndX呼叫的时间,最后Read_AndX响应值显示和最小值,最大值和平均读响应时间(SRT中)被计算。注:如果在DOS命令行外壳符,'^'时,每行不能以逗号结束所以它被放置在每个连续行的开头:
tshark的-o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z IO,统计,0, “MIN(frame.time_relative)frame.time_relative和smb.cmd == 0x2E读取和smb.flags.response == 0”, “MAX(frame.time_relative)frame.time_relative和smb.cmd == 0x2E读取和smb.flags.response == 1” “MIN(smb.time)smb.time和smb.cmd == 0x2E之间”, “MAX(smb.time)smb.time和smb.cmd == 0x2E之间”, “AVG(smb.time)smb.time和smb.cmd 0x2E的==”
====================================================================================================== IO统计 列#0:MIN(frame.time_relative)frame.time_relative和smb.cmd == 0x2E读取和smb.flags.response == 0 列#1:MAX(frame.time_relative)frame.time_relative和smb.cmd == 0x2E之间和smb.flags.response == 1 列#2:MIN(smb.time)smb.time和smb.cmd 0x2E的== 列#3:MAX(smb.time)smb.time和smb.cmd 0x2E的== 列#4:AVG(smb.time)smb.time和smb.cmd 0x2E的== |列#0 |列#1 |列#2 |列#3 |列#4 | 时间| MIN | MAX | MIN | MAX | AVG | 000.000- 0.000000 7.704054 0.000072 0.005539 ??0.000295 ======================================================================================================
下面的命令显示的平均SMB响应读取PDU大小,读取的字节PDU总数,平均SMB写请求PDU大小,并在SMB写的PDU传输的字节总数:
tshark的-n -q -r smb_reads_writes.cap -z IO,统计,0, “AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E读取和smb.response_to” “SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E读取和smb.response_to” “AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值为0x2F,而不是smb.response_to” “SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值为0x2F,而不是smb.response_to”
================================================== =================================== IO统计 列#0:AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E读取和smb.response_to 列#1:SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E之间和smb.response_to 列#2:AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值为0x2F,而不是smb.response_to 列#3:SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值为0x2F,而不是smb.response_to |列#0 |列#1 |列#2 |列#3 | 时间| AVG | SUM | AVG | SUM | 000.000- 30018 28067522 72 3240 ================================================== ===================================
LOAD(场)过滤器
下面的命令显示平均SMB LOAD。值为1.0表示一个I / O在飞行。
tshark的-n -q -r smb_reads_writes.cap -z“IO,统计,0.001,LOAD(smb.time)smb.time”
================================================== ========================== IO统计 间隔:0.001000秒 列#0:LOAD(smb.time)smb.time |列#0 | 时间| LOAD | 0000.000000-0000.001000 1.000000 0000.001000-0000.002000 0.741000 0000.002000-0000.003000 0.000000 0000.003000-0000.004000 1.000000
框架| BYTES [()过滤器
下面的命令显示五列:使用单个逗号,相同的两个统计使用框架帧和字节(传送双向)的总数和BYTES子,含有至少一个SMB读响应帧的总数量,以及总在IP传送给客户端(单向)的字节数地址10.1.0.64。
tshark的-o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z IO,统计,0,框架,字节, “框架()== smb.cmd 0x2E的和smb.response_to”,“字节()== ip.dst 10.1.0.64”
======================================================================================================================= IO统计 列#0: 列#1:框架 列#2:字节 列#3:帧()== smb.cmd 0x2E的和smb.response_to 列#4:字节()== ip.dst 10.1.0.64 |列#0 |列#1 |列#2 |列#3 |列#4 | 时间|框架|字节|框架| BYTES |框架| BYTES | 000.000- 33576 2972??1685 33576 2972??1685 870 29004801 =======================================================================================================================
- ,过滤器
-
这个选项将会激活LTE MAC消息的计数器。您将获得有关的UE / ??TTI,常见的消息和各种计数器出现在日志中每个UE的最大数量的信息。
例如:-z MAC-LTE,统计。
这个选项可以在命令行上多次使用。
如果可选的过滤器
- ,过滤器
-
收集的请求/响应的RTD(响应时间延迟)数据MEGACO。(这类似于-z尖儿,SRT)。所收集的数据是呼叫为每个已知MEGACO类型,MinRTD,MaxRTD和AvgRTD的数量。此外,你得到重复的请求/响应,unresponded请求,响应,不与任何请求匹配的数量。例如:-z MEGACO,RTD。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。例如:-z“MEGACO,RTD,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换主机MEGACO包。
这个选项可以在命令行上多次使用。
- ,过滤器
-
收集的请求/响应的RTD(响应时间延迟)数据MGCP。(这类似于-z尖儿,SRT)。所收集的数据是呼叫为每个已知MGCP类型,MinRTD,MaxRTD和AvgRTD的数量。此外,你得到重复的请求/响应,unresponded请求,响应,不与任何请求匹配的数量。例如:-z MGCP,RTD。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。例如:-z“MGCP,RTD,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换主机MGCP包。
- -z原,COLINFO,过滤器,场
-
追加所有字段现场过滤器现场将仅在信息栏中的数据包匹配其提交过滤器。
注:为了使tshark的是能够提取领域从包的价值,场必须是一部分过滤
对于一个简单的例子来了“nfs.fh.hash”字段添加到信息栏包含了“nfs.fh.hash”字段中,使用的所有数据包
-z原,COLINFO,nfs.fh.hash,nfs.fh.hash
为了把“nfs.fh.hash”的信息列,但只对数据包从主机1.2.3.4使用来临:
-z“原,COLINFO,nfs.fh.hash && ip.src == 1.2.3.4,nfs.fh.hash”
这个选项可以在命令行上多次使用。
- ,过滤器
-
这个选项将会激活LTE RLC消息的计数器。您将获得有关出现在日志中每个UE通用信息和各种计数器信息。
例如:-z RLC-LTE,统计。
这个选项可以在命令行上多次使用。
如果可选的过滤器
-
收集呼叫/答复SRT数据为所有已知的ONC-RPC程序/版本。数据收集是呼吁每个协议/版本,MinSRT,MaxSRT和AvgSRT的数量。只能使用一次在命令行上此选项。
- 程序,版本过滤器
-
收集呼叫/答复SRT(服务响应时间)数据的程序版本。所收集的数据是呼叫的每一道工序,MinSRT,MaxSRT,AvgSRT,以及对各过程的总时间的数目。
例如:-z RPC,SRT,100003,3将收集NFS v3的数据。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。
例如:-z RPC,SRT,100003,3,nfs.fh.hash ==为0x12345678将收集NFS v3的SRT统计特定文件。
-
收集统计数据的所有RTP流,并计算最大。三角洲最大。和平均抖动和数据包丢失百分比。
- CMDSET过滤器
-
收集呼叫/答复SRT(服务响应时间)数据SCSI命令集CMDSET。
Commandsets 0:1 SBC:SSC 5:MMC
所收集的数据是呼叫的每一道工序,MinSRT,MaxSRT和AvgSRT的数量。
例如:-z SCSI,SRT,0将收集的SCSI模块命令(SBC)数据。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。
例如:-z SCSI,SRT,0,ip.addr == 1.2.3.4将收集的SCSI SBC SRT统计特定iSCSI / IFCP / FCIP主机。
- ,过滤器
-
这个选项将会激活SIP消息的计数器。你会得到每一个出现的方法SIP和状态码的每个SIP的数量。此外,您还可以获得重发SIP消息的数量(仅适用于SIP基于UDP)。
例如:-z SIP,统计。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。例如:-z“抿,统计,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换主机SIP数据包。
- -z中小企业,小岛屿发展中国家
-
当使用此功能tshark的将打印一份报告,所有发现的SID和帐户名称映射。只有那些其中的帐户名称已知的SID将呈现于表中。
由当前的方法tshark的找到SID->名称映射相对限制未来扩张的希望。
- 过滤器
-
收集呼叫/答复SRT(服务响应时间)的数据为中小型企业。数据收集是呼吁每个SMB命令,MinSRT,MaxSRT和AvgSRT的数量。
例如:-z SMB,SRT
这些数据将作为所有正常的SMB命令单独的表,所有Transaction2命令和所有NT事务命令。只有那些出现在捕捉这些命令将显示其统计数据。仅在一个xAndX命令链中的第一命令将在计算中被使用。因此,对于共同SessionSetupAndX + TreeConnectAndX链,只有SessionSetupAndX呼叫将在统计中使用。这是一个缺陷,该缺陷可能会被固定在未来。
这个选项可以在命令行上多次使用。
如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。
例如:-z“SMB,SRT,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换主机SMB数据包。
- --capture注释<评论>
-
添加评论捕捉到输出文件。
如果创建了pcapng格式的新的输出文件,此选项才可用。只有一个捕捉评论可能每个输出文件中设置。
捕捉过滤器语法
见PCAP-过滤器(7)的手册页,或者,如果不存在,,或者,如果不存在,http://wiki.wireshark.org/CaptureFilters。
阅读过滤器语法
对于协议和协议字段是滤过在一个完整的表tshark的看到Wireshark的过滤器(4)手册页。
FILES
这些文件包含各种的Wireshark配置值。
- 首
-
该喜好文件包含全局(系统级)和个人偏好设置。如果系统范围的偏好文件存在,它首先读取,覆盖默认设置。如果个人喜好文件存在,它是下一次读取,改写以前的任何值。注意:如果在命令行选项-o使用(可能不止一次),它将从喜好文件依次覆盖值。
首选项设置形式:ֵ,每行一个,在那里Ϊprefname是偏好和名称ֵֵ。首选项设置可以通过缩进连续行以空格继续在后面的行。一个#字符开始运行到该行的末尾评论:
在混杂模式下捕捉#? #TRUE或FALSE(不区分大小写)。 capture.prom_mode:TRUE
全球首选项文件是看在Wireshark的目录下的共享主安装目录的子目录(例如,C:\ Program Files文件\ Wireshark的\喜好在Windows系统上)。
$ HOME / .wireshark /喜好在UNIX兼容的系统和%APPDATA%\ Wireshark的\偏好(或者,如果%APPDATA%没有定义,%USERPROFILE%\应用数据\ Wireshark的\喜好)在Windows系统上。
- 禁用(启用)协议
-
该disabled_protos文件包含已被禁用的,所以他们的解剖从来没有所谓的协议,全系统和个人名单。该文件包含协议名称,每行,那里的协议名称是将在该协议显示过滤器中使用相同的名称之一:
HTTP TCP#评论
全球disabled_protos文件使用相同的目录作为全球首选项文件。
个人disabled_protos文件使用相同的目录个人喜好文件。
- 名称解析(主机)
-
如果个人主机文件存在,它是用来解决IPv4和IPv6地址的任何其他企图都是为了解决这些问题之前。该文件有一个标准
捕获过滤器的名称解析是由libpcap的在UNIX兼容的系统和WinPcap的Windows上进行处理。因此Wireshark的个人主机文件不会被征询捕获过滤器的名称解析。
- 名称解析(醚)
-
该醚文件被咨询到相关6个字节的硬件地址名称。首先,个人醚文件是经得起如果地址没有找到有全球醚文件明年受审。
每一行包含一个硬件地址和名称用空格隔开。该硬件地址的数字之间用冒号(:),破折号(分离- )或周期()。相同的分隔符必须在地址一致地使用。下面三行是一个有效的行醚文件:
FF:FF:FF:FF:FF:FF广播 c0-00-FF-FF-FF-FF TR_broadcast 00.00.00.00.00.00 Zero_broadcast
全球醚文件找在的/ etc上的UNIX兼容的系统目录下,并在主安装目录(例如C:\ Program Files文件\ Wireshark的)在Windows系统上。
个人醚文件在同一目录中的个人喜好文件寻找。
捕获过滤器的名称解析是由libpcap的在UNIX兼容的系统和WinPcap的Windows上进行处理。因此Wireshark的个人醚文件不会被征询捕获过滤器的名称解析。
- 名称解析(MANUF)
-
该醚文件,除了该窗体的条目:
00:00:0C思科
可以提供,具有3字节的OUI和供应商的名称,如条目:
00-00-0C-07-AC / 40全HSRP,路由器
可以指定一个MAC地址,并指示如何地址中有多少位必须匹配掩码。以上条目,例如,有40个显著位,或5个字节,并且将来自00-00-0C-07-AC-00通过00-00-0C-07-AC FF匹配的地址。掩模不必是8的倍数。
该MANUF文件在同一目录作为全球首选项文件找。
- 名称解析(ipxnets)
-
该ipxnets文件用于4个字节的IPX网络号关联到的名称。首先,全球ipxnets文件尝试,如果该地址没有发现有个人一个是下一个尝试。
的格式是一样的ipxnets文件:
C0.A8.2C.00 HR C0-a8-1c-00的CEO 00:00:BE:EF IT_Server1 110F FileServer3
全球ipxnets文件找在的/ etc上的UNIX兼容的系统目录下,并在主安装目录(例如C:\ Program Files文件\ Wireshark的)在Windows系统上。
个人ipxnets文件在同一目录中的个人喜好文件寻找。
环境变量
- WIRESHARK_APPDATA
-
在Windows上,通常的Wireshark中存储%APPDATA%或%USERPROFILE%所有应用程序数据。您可以通过导出这个环境变量指定的备用位置覆盖缺省位置。
- WIRESHARK_DEBUG_EP_NO_CHUNKS
-
通常情况下每个数据包分配内存在较大的“豆腐块”。此行为不会与调试工具如Valgrind的或ElectricFence工作。导出这个环境变量来强制个人分配。注:禁用块也禁用金丝雀(见下文)。
- WIRESHARK_DEBUG_SE_NO_CHUNKS
-
通常情况下每个文件分配内存在较大的“豆腐块”。此行为不会与调试工具如Valgrind的或ElectricFence工作。导出这个环境变量来强制个人分配。注:禁用块也禁用金丝雀(见下文)。
- WIRESHARK_DEBUG_EP_NO_CANARY
-
通常情况下每个数据包的内存分配是由“金丝雀”,它允许检测内存超支分开。这是以一些额外的内存使用量为代价。导出这个环境变量来禁用这些加那利群岛。
- WIRESHARK_DEBUG_SE_USE_CANARY
-
导出这个环境变量会导致每个文件的内存分配与“金丝雀”,它允许检测内存溢出保护。这是以显著额外的内存使用量为代价。
- WIRESHARK_DEBUG_SCRUB_MEMORY
-
如果这个环境变量设置,每个数据包和每个文件存储器的内容被初始化为0xBADDCAFE当分配内存,并且被重置为0xDEADBEEF释放内存时。主要是开发商在寻找的方式存储的错误处理,此功能是非常有用的。
- WIRESHARK_DEBUG_WMEM_OVERRIDE
-
设置这个环境变量强制wmem框架使用指定的分配器后端*所有的*分配,无论哪个后端通常是由代码指定的。测试或调试时,这主要是有用的开发商。见README.wmem详细细节源分布。
- WIRESHARK_RUN_FROM_BUILD_DIRECTORY
-
该环境变量导致要由生成目录(其中程序被编译)加载插件和其它数据文件,而不是从标准位置。它有当有问题的程序与* NIX根(或setuid的)权限运行没有影响。
- WIRESHARK_DATA_DIR
-
该环境变量引起的各种数据文件从目录不是标准位置其它加载。它有当有问题的程序与* NIX根(或setuid的)权限运行没有影响。
- WIRESHARK_PYTHON_DIR
-
这个环境变量指向的备用位置的Python。它有当有问题的程序与* NIX根(或setuid的)权限运行没有影响。
- ERF_RECORDS_TO_CHECK
-
这个环境变量控制决定时,如果文件确实是在ERF格式ERF记录数核对。设置此环境变量而不是默认的(20)一些更高将使误报的可能性较小。
- IPFIX_RECORDS_TO_CHECK
-
这个环境变量控制决定时,如果文件确实是在IPFIX格式的IPFIX记录数核对。设置此环境变量而不是默认的(20)一些更高将使误报的可能性较小。
- WIRESHARK_ABORT_ON_DISSECTOR_BUG
-
如果这个环境变量设置,tshark的将调用
中止(3)
中止(3)
- WIRESHARK_ABORT_ON_TOO_MANY_ITEMS
-
如果这个环境变量设置,tshark的将调用
中止(3)
中止(3)
- WIRESHARK_EP_VERIFY_POINTERS
-
此环境变量,如果存在的话,会导致被审计指针某些用途,以确保它们不会指向被释放后,每个数据包已经完全解剖记忆。这可能是有用的开发人员编写或审计代码。
- WIRESHARK_SE_VERIFY_POINTERS
-
此环境变量,如果存在的话,会导致被审计指针某些用途,以确保它们不会指向时捕获文件被关闭后,释放内存。这可能是有用的开发人员编写或审计代码。
- WIRESHARK_ABORT_ON_OUT_OF_MEMORY
-
此环境变量,如果存在的话,原因
中止(3)
要如果某些出内存不足的条件(这通常会导致一个例外,一个解释性的错误消息)都是经验丰富的调用。这可能是有用的开发者调试出内存不足的情况。