YYDS!70个非常牛叉的wireshark命令合集!
在网络安全与数据分析领域,Wireshark无疑是一款不可或缺的工具。以强大的网络协议分析和数据包捕获能力,帮助用户深入了解网络流量的细节。Wireshark的功能远不止于此,通过一系列精心设计的命令和过滤器,用户可以更加高效地挖掘和利用网络数据。本文将为大家带来70个非常实用的Wireshark命令合集,助你在网络分析的道路上事半功倍。
一、基础命令与操作
1. 启动Wireshark:直接在命令行输入
wireshark或tshark(Wireshark的命令行版本)启动程序。2. 捕获数据包:在Wireshark界面点击红色圆形按钮开始捕获,或使用
tshark -i <接口名>命令。3. 停止捕获:点击黑色方形按钮停止捕获,或使用
Ctrl+C终止tshark命令。4. 保存捕获文件:使用
File -> Save保存为.pcap或.pcapng格式。5. 打开捕获文件:使用
File -> Open打开已有的捕获文件。6. 应用过滤器:在捕获窗口上方的过滤器栏输入过滤条件,如
ip.src == 192.168.1.1。7. 清除过滤器:点击过滤器栏右侧的“X”按钮清除当前过滤器。
8. 颜色规则:使用
View -> Coloring Rules为不同协议或条件设置不同颜色。9. 时间戳格式:使用
View -> Time Display Format选择时间戳显示格式。10. 显示/隐藏列:右键点击列标题,选择显示或隐藏特定列。
二、捕获与接口相关命令
11. 列出所有接口:
tshark -D列出所有可用于捕获的网络接口。12. 指定接口捕获:
tshark -i <接口名>指定接口进行数据包捕获。13. 捕获特定数量的数据包:
tshark -c <数量>捕获指定数量的数据包后自动停止。14. 捕获到文件:
tshark -i <接口名> -w <文件名>将捕获的数据包保存到文件中。15. 从文件读取并捕获:
tshark -r <文件名> -i <接口名>从文件中读取过滤器条件并在接口上应用。16. 设置捕获缓冲区大小:
tshark -B <大小>设置捕获缓冲区大小(单位:MB)。17. 设置快照长度:
tshark -s <长度>设置捕获每个数据包的最大字节数(快照长度)。18. 捕获时应用显示过滤器:
tshark -f "<过滤器>"在捕获时应用显示过滤器。19. 捕获时应用捕获过滤器:
tshark -F "<过滤器>"在捕获时应用捕获过滤器。20. 连续捕获模式:
tshark -l启用连续捕获模式,实时处理捕获的数据包。
三、显示过滤器与协议分析
21. IP地址过滤:
ip.src == 192.168.1.1或ip.dst == 192.168.1.1过滤源或目的IP地址。22. 端口过滤:
tcp.port == 80或udp.port == 53过滤特定TCP或UDP端口。23. 协议过滤:
http、dns、tftp等直接过滤特定协议的数据包。24. MAC地址过滤:
eth.src == 00:11:22:33:44:55或eth.dst == 00:11:22:33:44:55过滤源或目的MAC地址。25. 子网过滤:
ip.src net 192.168.1.0/24过滤源IP地址属于特定子网的数据包。26. 逻辑运算:使用
and、or、not进行逻辑运算,如ip.src == 192.168.1.1 and tcp.port == 80。27. 长度过滤:
frame.len == <长度>过滤特定长度的数据包。28. 内容过滤:
tcp.payload contains "GET"过滤TCP负载中包含特定字符串的数据包。29. 自定义列:使用
View -> Add/Remove Columns添加或删除自定义列。30. 协议层次结构:使用
Protocol Hierarchy查看数据包的协议层次结构。
四、高级分析与统计
31. 流量图:使用
Statistics -> Flow Graph生成流量图,分析数据包流向。32. 会话统计:使用
Statistics -> Conversations查看会话统计信息。33. 端点统计:使用
Statistics -> Endpoints查看网络中的端点信息。34. 服务响应时间:使用
Statistics -> Service Response Time分析服务响应时间。35. IO图表:使用
Statistics -> IO Graph生成IO图表,可视化数据包流量。36. 专家信息:使用
Analyze -> Expert Info查看专家信息,快速定位潜在问题。37. 数据包注释:右键点击数据包,选择
Packet Comment添加注释。38. 数据包标记:使用
Edit -> Mark Packet或快捷键Ctrl+M标记数据包。39. 数据包列表导出:使用
File -> Export Packet Dissections -> As CSV...导出数据包列表为CSV文件。40. 数据包详情导出:使用
File -> Export Packet Details -> As Plain Text...导出数据包详情为纯文本文件。
五、TSHARK命令行进阶
41. 实时输出:
tshark -i <接口名> -l -V实时输出捕获的数据包详细信息。42. 指定输出格式:
tshark -i <接口名> -T <格式>指定输出格式,如-T text、-T pdml等。43. 只输出特定字段:
tshark -i <接口名> -e <字段名>只输出指定字段的信息。44. 读取文件并输出:
tshark -r <文件名> -V读取文件并输出详细数据包信息。45. 输出到文件:
tshark -i <接口名> -w <输出文件名>将捕获的数据包保存到文件中。46. 合并文件:
mergecap <输入文件1> <输入文件2> -w <输出文件>合并多个捕获文件。47. 解码协议:
tshark -i <接口名> -d <协议名>.<字段名>==<值>解码自定义或未知协议。48. 设置时间参考:
tshark -i <接口名> -t ad、-t e、-t u、-t r设置时间戳参考类型。49. 指定捕获文件类型:
tshark -r <文件名>.pcapng或.pcap指定捕获文件类型。50. 捕获时指定环回接口:
tshark -i lo捕获环回接口的数据包。
六、流量分析与监控
51. 流量监控:
tshark -i <接口名> -c 1000 -z io,phout监控网络流量并生成报告。52. 会话统计:
tshark -i <接口名> -z conv,eth生成会话统计信息。53. 端口统计:
tshark -i <接口名> -z port,eth生成端口统计信息。54. HTTP分析:
tshark -i <接口名> -z http,tree分析HTTP流量并生成树状图。55. DNS分析:
tshark -i <接口名> -z dns,tree分析DNS流量并生成树状图。56. 流量矩阵:
tshark -i <接口名> -z flow,eth生成流量矩阵。57. 自定义统计:使用
tshark -z后跟自定义统计选项生成统计报告。58. 流量捕获限制:
tshark -i <接口名> -c <数量> -b duration:<秒>限制捕获时间为指定秒数。59. 流量捕获文件大小限制:
tshark -i <接口名> -b filesize:<MB>限制捕获文件大小为指定MB。60. 流量捕获文件数量限制:
tshark -i <接口名> -b files:<数量>限制捕获文件数量为指定数量。
七、数据恢复与取证
61. 数据恢复:使用
File -> Export Objects -> HTTP等选项导出捕获文件中的特定对象。62. 文件分片重组:使用
File -> Export Objects -> Reassemble TCP Streams重组TCP分片文件。
八、高级过滤与解析
63. 复杂过滤表达式:结合使用多个过滤条件,如
ip.src == 192.168.1.1 and tcp.port == 80 and http.request.method == "GET"。64. 基于时间的过滤:使用
frame.time_relative或frame.time字段进行基于时间的过滤,如frame.time_relative >= 0.001。65. 基于序列号的过滤:使用
frame.number字段进行基于数据包序列号的过滤,如frame.number == 10。66. 基于长度的过滤:使用
frame.len或ip.len等字段进行基于数据包或特定协议层长度的过滤。67. 基于校验和的过滤:检查数据包的校验和是否正确,如
ip.checksum_status == 0表示校验和正确。68. 基于TCP标志的过滤:使用
tcp.flags字段过滤特定TCP标志的数据包,如tcp.flags.syn == 1表示SYN包。69. 基于UDP长度的过滤:使用
udp.length字段过滤特定长度的UDP数据包。70. 基于ICMP类型的过滤:使用
icmp.type字段过滤特定类型的ICMP数据包,如icmp.type == 8表示Echo请求。