tshark的抓包和解析

1、

a、解析dhcp抓包文件

-r 读抓好的数据包文件

tshark -r 数据包路径 -Y 过滤条件   基本上可以运用 wirshark上的过滤条件

查找中继后dhcp discover src ip 报文

tshark  -r E:\testpacket\testdhcp.pcapng -Y "bootp && ip.src == 192.168.108.1 && bootp.option.dhcp == 1"

查看dhcp discover srcmac 报文

tshark  -r E:\testpacket\testdhcp.pcapng -Y "bootp && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 1"

查看dhcp offer 报文

tshark  -r E:\testpacket\testdhcp.pcapng -Y "bootp && ip.src == 192.168.111.1 && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 2"

查看dhcp request报文

tshark  -r E:\testpacket\testdhcp.pcapng -Y "bootp && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 3"

查看dhcp ack报文

tshark  -r E:\testpacket\testdhcp.pcapng -Y "bootp && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 5"

b、解析tftp

查看tftp 69端口 针对 文件名字 cm.cfg 请求:

tshark -r E:\cm_online.pcapng -Y "tftp && udp.dstport == 69 && tftp.source_file == "cm.cfg""

查看server回复ack报文:

tshark -r E:\cm_online.pcapng -Y "tftp && tftp.opcode == 6 && ip.src == 192.168.111.1"

查看server发送数据报文的请求信息:

tshark -r E:\cm_online.pcapng -Y "tftp && data.len && tftp.source_file == "cm.cfg""

tshark -r E:\cm_online.pcapng -Y "tftp && frame.protocols == "eth:ethertype:ip:udp:tftp:data" && tftp.source_file == "cm.cfg""

2、查看网卡

tshark -D

3、抓包

tshark -i 网卡 -f "过滤选项" -a duration:抓包时间

tshark -i wk106 -f "icmp"  -a duration:5

windows 网卡的名字是定义的名字的  就是 -D 看到的括号的名字

抓包网口 vlan1002-sw4  10s钟 保存到 E:\testpacket\234.pcapng

tshark -i vlan1002-sw4 -a duration:10 -w E:\testpacket\234.pcapng

-c  捕获包个数

tshark -i wk106 -f "icmp"  -c 1

4、抓包就打印到界面上 实时打印

-T -e 只是打印这个字段

tshark -i wk106 -f "icmp"  -c 1 -T fields -e "icmp"

tshark -i wk106 -f "icmp"  -a duration:5 -T fields -e "icmp"

-T -e 只是打印这两个个字段

tshark -i wk106 -f "icmp"  -c 1 -T fields -e "icmp" -e "eth.dst"

tshark -i wk106 -f "icmp"  -a duration:5 -T fields -e "icmp" -e "eth.dst"

抓包 vlan 的数据

tshark -i wk106 -f "vlan"  -c 10  -T fields -e "eth.src" -e"vlan"

-I 输出到命令行界面 老是报错

原文地址:https://www.cnblogs.com/classics/p/10417419.html

时间: 2024-11-09 04:37:52

tshark的抓包和解析的相关文章

python+scapy 抓包与解析

1. 简介 最近一直在使用做流量分析,今天把 scapy 部分做一个总结. python 的 scapy 库可以方便的抓包与解析包,无奈资料很少,官方例子有限,大神博客很少提及, 经过一番尝试后,总结以下几点用法以便大家以后使用. 2. 用法实例 安装 作为初学者,关心的首先是如何安装,本人电脑系统是 fedora, 建议使用 linux. 推荐下载 pip,直接:(当然得在 su 权限下) pip install scapy 在 terminal 中输入 scapy, 如果有下面形式即安装好了

Linux中tshark(wireshark)抓包工具使用方法详解

在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析.最近才发现,原来wireshark也提供有Linux命令行工具-tshark.tshark不仅有抓包的功能,还带了解析各种协议的能力.下面我们以两个实例来介绍tshark工具. 1.安装方法  代码如下 复制代码 CentOS: yum install -y wiresharkUbuntu: apt-get install

开发过程中快速抓包并解析

这几天小编在工作中遇到了一个灵异事件,客户端使用的是安卓原生系统,服务端使用的是java.需求就是客户端在照相的时候可以实时上传照片.后台接收并保存,并且可以在平台上显示.看似简单的功能,确有个很大的坑.有2个平台,192.168.31.87平台是测试环境,192.168.31.239是演示环境,测试环境,演示环境,还有安卓客户端代码都是一样的,连mq,redis,nginx,数据库都是一样的.但是安卓端上传测试环境一直报java.net.SocketException,在演示环境上是正常的.检

linux抓包并解析

tcpdump 的抓包保存到文件的命令参数是-w xxx.文件名后缀 tcpdump  -w /opt/test.pcap 可参阅http://liuzhigong.blog.163.com/blog/static/1782723752012851043396/ 然后用wireshark软件进行分析pcap文件即可 eg:过滤器中增加 ip.dst == 210.22.109.86可以分析出有多少ip向改目的ip发送数据

iOS 如何做才安全--逆向工程 - Reveal、IDA、Hopper、https抓包 等

iOS应用的安全性 常常被大家忽视. 1.首先,我们可以通过软件 下载 AppStore的ipa文件(苹果 把开发者上传的ipa进行了加壳再放到AppStore中), 得到ipa文件 可以分析APP 里包含的一些资源,如:图片.plist文件.静态wap页..bundle 等. 所以不要 在plist文件.项目中的静态文件中 存储关键的信息,如果要保存,记得加密(这样可以增加破解的难度). 2.我们可以用软件 查看 APP的沙盒,查看里面存储的 文件(sqlite.plist(NSUserdef

Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析

在Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析. 最近才发现,原来wireshark也提供有Linux命令行工具-tshark.tshark不仅有抓包的功能,还带了解析各种协议的能力.下面我们以两个实例来介绍tshark工具.1.安装方法 CentOS: yum install -y wireshark    Ubuntu: apt-get install -y tsha

pcapng文件的python解析实例以及抓包补遗

正文 为了弥补pcap文件的缺陷,让抓包文件可以容纳更多的信息,pcapng格式应运而生.关于它的介绍详见<PCAP Next Generation Dump File Format> 当前的wireshark/tshark抓取的包默认都被保存为pcapng格式. 形而上的论述就不多谈了,直接给出一个pcapng数据包文件的例子: 然后我强烈建议,对着<PCAP Next Generation Dump File Format>来把一个实际抓取的pcapng文件里面的每一个字节都对

如何使用tshark抓包分析http请求

wireshark 在linux下也可以安装 yum install -y wireshark 抓包分析http请求:tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri"

十五、free、ps、netstat命令,以及抓包工具tcpdump和tshark

free命令,查看内存. #free -k 以kb显示 #free -m 以Mb显示 #free -g 以Gb显示 #free -h 以合适大小显示 free 命令输出的信息: 真正剩余的内存是free列的第二行 buffers和cached列的数字分别表示buffers和cached还有多少剩余 free列的一行数字+buffers列数字 - buffers/cache 反应的是被程序实实在在吃掉的内存 + buffers/cache 反应的是可以挪用的内存总数 buffers和cached有