این دستور tshark است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
tshark - ترافیک شبکه را تخلیه و تجزیه و تحلیل کنید
خلاصه
کوسه [ -2 ] [ -a ]...
[ -b ] ... [ -B ]
[ -c ] [ -C ]
[ -d == ، ] [ -D ] [ -e ]
[ -E ] [ -f ] [ -F ] [ -g ] [ -h ]
[ -H ] [ -i |- ] [ -I ] [ -K ] [ -l ]
[ -L ] [ -n ] [ -N ] [ -o ]...
[ -O ] [ -p ] [ -P ] [ -q ] [ -Q ] [ -r ] [ -R ]
[ -s ] [ -S ] [ -t a|ad|adoy|d|dd|e|r|u|ud|udoy ]
[ -T فیلدها|pdml|ps|psml|متن ] [ -u ] [ -v ] [ -V ] [ -w |- ]
[ -W ] [ -x ] [ -X ] [ -y ]
[ -Y ] [ -z ] [ --گرفتن-نظر ]
[ ]
کوسه -G [ ]
شرح
تی شارک یک تحلیلگر پروتکل شبکه است. این به شما امکان می دهد داده های بسته را از یک زنده ضبط کنید
شبکه، یا خواندن بسته ها از یک فایل ضبط قبلی ذخیره شده، یا چاپ رمزگشایی شده
شکل آن بسته ها به خروجی استاندارد یا نوشتن بسته ها در یک فایل. تی شارک's
فرمت فایل کپچر بومی است pcap فرمت، که فرمت مورد استفاده توسط tcpdump و
ابزارهای مختلف دیگر
بدون تنظیم هیچ گزینه ای، تی شارک بسیار شبیه کار خواهد کرد tcpdump. از کتابخانه pcap استفاده خواهد کرد
برای گرفتن ترافیک از اولین رابط شبکه موجود و نمایش یک خط خلاصه
در stdout برای هر بسته دریافتی.
تی شارک قادر به شناسایی، خواندن و نوشتن همان فایل های ضبطی است که توسط آنها پشتیبانی می شود
Wireshark. فایل ورودی به پسوند نام فایل خاصی نیاز ندارد. فرمت فایل و
فشرده سازی اختیاری gzip به طور خودکار شناسایی می شود. نزدیک به ابتدای
بخش DESCRIPTION از wireshark(1) یا
شرح مفصلی از
راه Wireshark این کار را انجام می دهد که به همین ترتیب است شارک این را اداره می کند
پشتیبانی از فایل های فشرده از کتابخانه zlib استفاده می کند (و بنابراین نیاز دارد). اگر zlib
کتابخانه وجود ندارد، تی شارک کامپایل خواهد شد، اما قادر به خواندن فایل های فشرده نخواهد بود.
اگر -w گزینه مشخص نشده است، تی شارک متن a را روی خروجی استاندارد می نویسد
شکل رمزگشایی بسته هایی که می گیرد یا می خواند. اگر -w گزینه مشخص شده است، تی شارک
داده های خام بسته ها را به همراه
مهر زمان بسته ها
هنگام نوشتن یک شکل رمزگشایی شده از بسته ها، تی شارک به طور پیش فرض یک خط خلاصه می نویسد
حاوی فیلدهای مشخص شده توسط فایل ترجیحی (که همچنین فیلدها هستند
در صفحه فهرست بسته در نمایش داده می شود Wireshark، اگرچه اگر بسته ها را به عنوان آن بنویسد
آنها را می گیرد، به جای نوشتن بسته ها از یک فایل ضبط ذخیره شده، آن را نشان نمی دهد
فیلد "شماره قاب". اگر -V گزینه مشخص شده است، به جای آن یک نمای از را می نویسد
جزئیات بسته، نشان دادن تمام فیلدهای همه پروتکل ها در بسته. اگر -O
گزینه مشخص شده است، فقط پروتکل های کامل مشخص شده را نشان می دهد. از خروجی استفاده کنید
"کوسه -G پروتکلبرای پیدا کردن اختصارات پروتکل ها می توانید مشخص کنید.
اگر می خواهید فرم رمزگشایی شده بسته ها را در یک فایل بنویسید، اجرا کنید تی شارک بدون -w
گزینه، و خروجی استاندارد آن را به فایل (do نه با استفاده از -w گزینه).
هنگام نوشتن بسته ها در یک فایل، تی شارک، به طور پیش فرض، فایل را در آن می نویسد pcap فرمت، و
تمام بسته هایی را که می بیند در فایل خروجی می نویسد. را -F می توان از گزینه استفاده کرد
فرمت نوشتن فایل را مشخص کنید. این لیست از فرمت های فایل موجود است
نمایش داده شده توسط -F پرچم بدون ارزش با این حال، شما نمی توانید یک فرمت فایل برای a مشخص کنید
ضبط زنده
خواندن فیلترها در تی شارک، که به شما امکان می دهد انتخاب کنید کدام بسته ها باید رمزگشایی شوند یا
نوشته شده در یک فایل، بسیار قدرتمند هستند. فیلدهای بیشتری قابل فیلتر هستند تی شارک از سایر موارد
تحلیلگرهای پروتکل، و نحوی که می توانید برای ایجاد فیلترهای خود استفاده کنید غنی تر است. مانند
تی شارک پیشرفت می کند، انتظار می رود بیشتر و بیشتر فیلدهای پروتکل در فیلترهای خواندن مجاز باشد.
گرفتن بسته با کتابخانه pcap انجام می شود. نحو فیلتر ضبط به شرح زیر است
قوانین کتابخانه pcap این نحو با نحو فیلتر خواندن متفاوت است. آ
فیلتر خواندن را نیز میتوان در هنگام عکسبرداری مشخص کرد و فقط بستههایی را که خوانده شده را عبور میدهند
فیلتر نمایش داده می شود یا در فایل خروجی ذخیره می شود. با این حال، توجه داشته باشید که فیلترها را ضبط کنید
بسیار کارآمدتر از فیلترهای خواندن هستند و ممکن است سخت تر باشد تی شارک برای نگه داشتن
اگر فیلتر خواندنی برای عکسبرداری زنده مشخص شده باشد، با یک شبکه مشغول باشید.
یک فیلتر ضبط یا خواندن را می توان با -f or -R گزینه، به ترتیب،
در این صورت کل عبارت فیلتر باید به عنوان یک آرگومان واحد مشخص شود (که
به این معنی که اگر حاوی فاصله باشد، باید نقل قول شود، یا می توان با دستور- مشخص کرد
آرگومان های خط بعد از آرگومان های گزینه، در این صورت همه آرگومان های بعد از
آرگومان های فیلتر به عنوان یک عبارت فیلتر در نظر گرفته می شوند. فیلترهای ضبط فقط پشتیبانی می شوند
هنگام انجام تصویربرداری زنده؛ فیلترهای خواندن هنگام انجام تصویربرداری زنده و زمانی پشتیبانی می شوند
در حال خواندن یک فایل ضبط، اما به TShark نیاز دارید که هنگام فیلتر کردن کار بیشتری انجام دهد، بنابراین ممکن است شما این کار را انجام دهید
اگر از فیلتر خواندن استفاده می کنید، احتمال از دست دادن بسته ها در زیر بار سنگین بیشتر است. اگر فیلتر
با آرگومان های خط فرمان بعد از آرگومان های گزینه مشخص می شود، این یک فیلتر ضبط است
اگر ضبط انجام شود (به عنوان مثال، اگر خیر -r گزینه مشخص شد) و یک فیلتر خواندن اگر a
فایل ضبط در حال خواندن است (به عنوان مثال، اگر a -r گزینه مشخص شد).
La -G گزینه حالت خاصی است که به سادگی باعث می شود شارک برای تخلیه یکی از چندین نوع
واژه نامه های داخلی و سپس خروج.
OPTIONS
-2 تجزیه و تحلیل دو پاس را انجام دهید. این باعث می شود که tshark خروجی را تا کل بافر کند
اولین پاس انجام شده است، اما به آن اجازه می دهد تا فیلدهایی را که نیاز به دانش آینده دارند پر کند،
مانند فیلدهای "پاسخ در قاب #". همچنین اجازه می دهد تا وابستگی های قاب مونتاژ مجدد باشد
به درستی محاسبه شده است.
-آ
معیاری را مشخص کنید که چه زمانی را مشخص می کند تی شارک توقف نوشتن در یک فایل ضبط است.
ملاک فرم است آزمون:ارزش، که در آن آزمون یکی از:
مدت:ارزش بعد از آن نوشتن در فایل ضبط را متوقف کنید ارزش ثانیه گذشته است.
حجم فایل:ارزش پس از رسیدن به اندازه فایل ضبط، نوشتن را متوقف کنید ارزش کیلوبایت اگر
این گزینه همراه با گزینه -b استفاده می شود، تی شارک نوشتن به
فایل ضبط فعلی و در صورت رسیدن به اندازه فایل، به فایل بعدی بروید. هنگام خواندن
یک فایل ضبط، تی شارک پس از تعداد بایت های خوانده شده، خواندن فایل متوقف می شود
از این عدد فراتر می رود (بسته کامل خوانده می شود، بنابراین بایت های بیشتری از این عدد است
ممکن است خوانده شود). توجه داشته باشید که حجم فایل به حداکثر مقدار 2 گیگابایت محدود شده است.
فایل ها:ارزش برای گرفتن فایل بعد از نوشتن، نوشتن را متوقف کنید ارزش تعداد فایل نوشته شد
-ب
علت تی شارک برای اجرا در حالت "فایل های متعدد". در حالت "چند فایل"، تی شارک اراده
در چندین فایل ضبط بنویسید. وقتی اولین فایل کپچر پر شد، تی شارک اراده
تغییر نوشتن به فایل بعدی و غیره.
نام فایل های ایجاد شده بر اساس نام فایل داده شده با -w گزینه، شماره
از فایل و در تاریخ و زمان ایجاد، به عنوان مثال outfile_00001_20050604120117.pcap،
outfile_00002_20050604120523.pcap، ...
با فایل ها این گزینه همچنین امکان تشکیل "بافر حلقه" وجود دارد. این پر خواهد شد
فایل های جدید تا تعداد فایل های مشخص شده، در این مرحله تی شارک را دور خواهد انداخت
داده ها را در فایل اول و شروع به نوشتن در آن فایل و غیره کنید. اگر فایل ها انتخاب
تنظیم نشده است، فایل های جدید پر می شوند تا زمانی که یکی از شرایط توقف ضبط (یا
تا زمانی که دیسک پر شود).
ملاک فرم است کلید:ارزش، که در آن کلید یکی از:
مدت:ارزش بعد از آن به فایل بعدی بروید ارزش ثانیه ها سپری شده باشد، حتی اگر
فایل فعلی به طور کامل پر نشده است.
حجم فایل:ارزش پس از رسیدن به اندازه فایل، به فایل بعدی بروید ارزش کیلوبایت توجه داشته باشید که
اندازه فایل به حداکثر مقدار 2 گیگابایت محدود شده است.
فایل ها:ارزش دوباره با اولین فایل بعد شروع کنید ارزش تعداد فایل نوشته شد
(یک بافر حلقه تشکیل دهید). این مقدار باید کمتر از 100000 باشد. باید احتیاط کرد
هنگام استفاده از تعداد زیادی فایل: برخی از سیستم های فایل بسیاری از فایل ها را در a مدیریت نمی کنند
تک دایرکتوری خوب را فایل ها ملاک هر دو را ایجاب می کند مدت or حجم فایل به
برای کنترل زمان رفتن به فایل بعدی مشخص شده است. لازم به ذکر است که هر یک -b
پارامتر دقیقاً یک معیار را می گیرد. برای تعیین دو معیار، هر کدام باید قبل از آن باشد
توسط -b گزینه.
مثال: -b حجم فایل: 1000 -b فایل ها: 5 منجر به یک بافر حلقه با اندازه پنج فایل می شود
هر کدام یک مگابایت
-ب
اندازه بافر ضبط را تنظیم کنید (به MiB، پیشفرض 2 مگابایت است). این توسط ضبط استفاده می شود
درایور برای بافر داده های بسته تا زمانی که آن داده ها روی دیسک نوشته شوند. اگر مواجه شدید
بسته در حین ضبط سقوط می کند، سعی کنید این اندازه را افزایش دهید. توجه داشته باشید که در حالی که شارک
سعی میکند اندازه بافر را بهطور پیشفرض روی ۲ مگابایت تنظیم کند، و میتوان به آن گفت که آن را روی a تنظیم کند
مقدار بزرگتر، سیستم یا رابطی که از آن عکس می گیرید ممکن است بی سر و صدا محدود شود
اندازه بافر ضبط را به یک مقدار کمتر یا افزایش آن به مقدار بالاتر.
این در سیستم های یونیکس با libpcap 1.0.0 یا بالاتر و در ویندوز موجود است. این است
در سیستم های یونیکس با نسخه های قبلی libpcap موجود نیست.
این گزینه می تواند چندین بار رخ دهد. اگر قبل از اولین وقوع استفاده شود -i
گزینه، اندازه بافر ضبط پیشفرض را تنظیم میکند. اگر بعد از یک -i گزینه، تنظیم می کند
اندازه بافر ضبط برای رابط مشخص شده توسط آخرین -i گزینه رخ می دهد
قبل از این گزینه اگر اندازه بافر ضبط به طور خاص تنظیم نشده باشد، پیش فرض است
به جای آن از اندازه بافر ضبط استفاده می شود.
-ج
حداکثر تعداد بسته ها را برای خواندن هنگام ضبط داده های زنده تنظیم کنید. اگر خواندن الف
ضبط فایل، حداکثر تعداد بسته ها را برای خواندن تنظیم کنید.
-C
با مشخصات پیکربندی داده شده اجرا کنید.
-د == ،
مانند Wireshark کشف کردن مانند... این ویژگی به شما امکان می دهد نوع لایه را مشخص کنید
تشریح شود. اگر نوع لایه مورد نظر (به عنوان مثال، tcp.port or udp.port برای
شماره پورت TCP یا UDP) دارای مقدار انتخابگر مشخص شده است، بسته ها باید تجزیه شوند
به عنوان پروتکل مشخص شده
مثال: -d tcp.port==8888,http هر ترافیکی را که روی پورت TCP 8888 اجرا می شود رمزگشایی می کند
HTTP
مثال: -d tcp.port==8888:3,http هر ترافیکی را که روی پورت های TCP 8888 اجرا می شود رمزگشایی می کند،
8889 یا 8890 به عنوان HTTP.
مثال: -d tcp.port==8888-8890،http هر ترافیکی که روی پورت های TCP اجرا می شود را رمزگشایی می کند
8888، 8889 یا 8890 به عنوان HTTP.
با استفاده از یک انتخابگر یا پروتکل نامعتبر، لیستی از انتخابگرهای معتبر چاپ می شود و
نام پروتکل ها به ترتیب
مثال: -d . یک راه سریع برای دریافت لیستی از انتخابگرهای معتبر است.
مثال: -d ethertype==0x0800. یک راه سریع برای دریافت لیستی از پروتکل هایی است که می تواند باشد
با اترتیپ انتخاب شده است.
-D فهرستی از واسط هایی را که روی آنها وجود دارد چاپ کنید تی شارک می تواند ضبط کند و از آن خارج شود. برای هر
رابط شبکه، یک عدد و یک نام رابط، احتمالاً با یک متن
شرح رابط، چاپ شده است. نام رابط یا شماره می تواند باشد
عرضه شده به -i گزینه ای برای تعیین رابطی که در آن عکسبرداری شود.
این می تواند برای سیستم هایی مفید باشد که دستوری برای لیست کردن آنها ندارند (به عنوان مثال، ویندوز
سیستمها یا سیستمهای یونیکس کمبود دارند ifconfig -a) شماره می تواند در ویندوز مفید باشد
سیستم های 2000 به بعد، که در آن نام رابط یک رشته تا حدودی پیچیده است.
توجه داشته باشید که "می تواند ضبط" به این معنی است تی شارک توانست آن دستگاه را برای اجرای زنده باز کند
گرفتن. بسته به سیستم شما ممکن است لازم باشد tshark را از یک حساب کاربری با آن اجرا کنید
امتیازات ویژه (مثلاً به عنوان root) برای اینکه بتوانید ترافیک شبکه را ضبط کنید. اگر
تی شارک -D از چنین حسابی اجرا نمی شود، هیچ رابطی را لیست نمی کند.
-e
فیلدی را به لیست فیلدها اضافه کنید تا اگر نمایش داده شود -T زمینه انتخاب شده است. این گزینه
می تواند چندین بار در خط فرمان استفاده شود. حداقل یک فیلد باید ارائه شود
اگر -T زمینه گزینه انتخاب شده است. نام ستون ها ممکن است با پیشوند "_ws.col" استفاده شود.
مثال: -e قاب.شماره -e ip.addr -e udp -e _ws.col.Info
دادن یک پروتکل به جای یک فیلد واحد، چندین مورد از داده ها را چاپ می کند
پروتکل به عنوان یک فیلد واحد فیلدها به طور پیش فرض با کاراکترهای برگه از هم جدا می شوند.
-E فرمت فیلدهای چاپ شده را کنترل می کند.
-ای
یک گزینه برای کنترل چاپ فیلدها تنظیم کنید -T زمینه انتخاب شده است.
گزینه ها عبارتند از:
header=y|n If y، فهرستی از نام فیلدهای داده شده را با استفاده از آن چاپ کنید -e به عنوان خط اول از
خروجی؛ نام فیلد با استفاده از همان کاراکتر فیلد جدا می شود
ارزش های. پیش فرض به n.
جداکننده=/t|/s|کاراکتر جداکننده را برای استفاده برای فیلدها تنظیم کنید. اگر /t برگ
استفاده خواهد شد (این پیش فرض است)، اگر /s، از یک فضای واحد استفاده خواهد شد. در غیر این صورت هر
کاراکتری که می تواند توسط خط فرمان به عنوان بخشی از گزینه پذیرفته شود، ممکن است استفاده شود.
رخداد=f|l|a از کدام رخداد برای فیلدهایی که چندتایی دارند استفاده کنید
ظهور. اگر f اولین رخداد استفاده خواهد شد، اگر l آخرین اتفاق خواهد بود
استفاده شده و اگر a همه رخدادها استفاده خواهند شد (این پیش فرض است).
aggregator=,|/s|کاراکتر aggregator را برای استفاده برای فیلدهایی که دارای آن هستند تنظیم کنید
رخدادهای متعدد اگر , یک کاما استفاده خواهد شد (این پیش فرض است)، اگر /s، یک
تک فضایی استفاده خواهد شد. در غیر این صورت هر شخصیتی که می تواند مورد پذیرش قرار گیرد
خط فرمان به عنوان بخشی از گزینه ممکن است استفاده شود.
quote=d|s|n کاراکتر نقل قول را برای استفاده برای فیلدهای فراگیر تنظیم کنید. d از دو نقل قول استفاده می کند،
s نقل قول تک، n بدون نقل قول (پیش فرض).
-ف
عبارت capture filter را تنظیم کنید.
این گزینه می تواند چندین بار رخ دهد. اگر قبل از اولین وقوع استفاده شود -i
گزینه، بیان فیلتر ضبط پیش فرض را تنظیم می کند. اگر بعد از یک -i گزینه، آن
عبارت فیلتر ضبط را برای رابط مشخص شده توسط آخرین تنظیم می کند -i انتخاب
قبل از این گزینه رخ می دهد. اگر عبارت capture filter تنظیم نشده باشد
به طور خاص، در صورت ارائه از عبارت فیلتر ضبط پیشفرض استفاده میشود.
-اف
فرمت فایل فایل ضبط خروجی را که با استفاده از -w گزینه.
خروجی نوشته شده با -w گزینه داده های بسته خام است، نه متن، بنابراین وجود ندارد -F
گزینه درخواست خروجی متن گزینه -F بدون مقدار موجود را لیست می کند
فرمت.
-g این گزینه باعث می شود که فایل(های) خروجی با مجوز گروه خواندن ایجاد شود
(به این معنی که فایل(های) خروجی می تواند توسط سایر اعضای کاربر تماس گیرنده خوانده شود
گروهی)
-G [ ]
La -G گزینه باعث خواهد شد شارک یکی از چندین نوع واژه نامه را ریخته و سپس
خروج اگر نوع واژه نامه خاصی مشخص نشده باشد، زمینه گزارش خواهد شد
به صورت پیش فرض تولید شده است.
انواع گزارش های موجود عبارتند از:
قالب های ستونی قالبهای ستونها را که توسط tshark درک میشود، تخلیه میکند. یک رکورد در هر
خط فیلدها به صورت تب جدا شده اند.
* فیلد 1 = رشته قالب (به عنوان مثال "%rD")
* فیلد 2 = شرح متن رشته قالب (به عنوان مثال "درگاه مقصد (حل شد)")
فعلی یک کپی از فایل تنظیمات ترجیحی فعلی را به stdout میریزد.
رمزگشایی می کند انجمن های "نوع لایه"/"رمزگشایی به عنوان" را در stdout می فرستد. یکی هست
رکورد در هر خط فیلدها به صورت تب جدا شده اند.
* فیلد 1 = نوع لایه، به عنوان مثال "tcp.port"
* فیلد 2 = انتخابگر به صورت اعشاری
* فیلد 3 = نام "رمزگشایی به عنوان"، به عنوان مثال "http"
پیش فرض ها یک فایل تنظیمات پیشفرض را به stdout میفرستد.
جداول کالبد شکافی فهرستی از جداول تفکیک کننده را برای stdout می فرستد. یک رکورد در هر
خط فیلدها به صورت تب جدا شده اند.
* فیلد 1 = نام جدول جداکننده، به عنوان مثال "tcp.port"
* فیلد 2 = نام مورد استفاده برای جدول تشریح در رابط کاربری گرافیکی
* فیلد 3 = نوع (نمایش متنی نوع ftenum)
* فیلد 4 = پایه برای نمایش (برای انواع عدد صحیح)
شمارش میدانی تعداد فیلدهای هدر را به stdout میریزد.
زمینه محتویات پایگاه داده ثبت نام را در stdout تخلیه می کند. یک مستقل
برنامه می تواند این خروجی را بگیرد و آن را به جداول زیبا یا HTML یا هر چیز دیگری فرمت کند.
در هر خط یک رکورد وجود دارد. هر رکورد یا یک پروتکل یا یک فیلد هدر است،
با فیلد اول متمایز می شود. فیلدها به صورت تب جدا شده اند.
* پروتکل ها
* ---------
* فیلد 1 = 'P'
* فیلد 2 = نام پروتکل توصیفی
* فیلد 3 = مخفف پروتکل
*
* فیلدهای سرصفحه
* --------------
* فیلد 1 = 'F'
* فیلد 2 = نام فیلد توصیفی
* فیلد 3 = مخفف فیلد
* فیلد 4 = نوع (نمایش متنی نوع ftenum)
* فیلد 5 = مخفف پروتکل والد
* فیلد 6 = پایه برای نمایش (برای انواع عدد صحیح). "عرض بیت فیلد والد" برای FT_BOOLEAN
* فیلد 7 = بیت ماسک: فرمت: هگزا: 0x ....
* فیلد 8 = فیلد توصیف کننده تار
ftypes "ftypes" (انواع اساسی) را که توسط tshark درک می شود، تخلیه می کند. یکی هست
رکورد در هر خط فیلدها به صورت تب جدا شده اند.
* فیلد 1 = FTYPE (به عنوان مثال "FT_IPv6")
* فیلد 2 = توصیف متنی نوع (به عنوان مثال "آدرس IPv6")
رمزگشایی اکتشافی رمزگشایی های اکتشافی نصب شده در حال حاضر را تخلیه می کند. یکی هست
رکورد در هر خط فیلدها به صورت تب جدا شده اند.
* فیلد 1 = جداکننده زیرین (مثلاً "tcp")
* فیلد 2 = نام رمزگشای اکتشافی (به عنوان مثال ucp")
* فیلد 3 = اکتشافی فعال (به عنوان مثال "T" یا "F")
پلاگین ها افزونه های نصب شده در حال حاضر را تخلیه می کند. در هر خط یک رکورد وجود دارد. در
فیلدها با تب جدا شده اند.
* فیلد 1 = کتابخانه افزونه (به عنوان مثال "gryphon.so")
* فیلد 2 = نسخه افزونه (به عنوان مثال 0.0.4)
* فیلد 3 = نوع پلاگین (به عنوان مثال "dissector" یا "tap")
* فیلد 4 = مسیر کامل به فایل افزونه
پروتکل پروتکل ها را در پایگاه داده ثبت نام به stdout تخلیه می کند. یک مستقل
برنامه می تواند این خروجی را بگیرد و آن را به جداول زیبا یا HTML یا هر چیز دیگری فرمت کند.
در هر خط یک رکورد وجود دارد. فیلدها به صورت تب جدا شده اند.
* فیلد 1 = نام پروتکل
* فیلد 2 = نام کوتاه پروتکل
* فیلد 3 = نام فیلتر پروتکل
ارزش رشتههای value_strings، range_strings یا true/false را برای فیلدهایی که در آن قرار دارند حذف میکند
آنها را داشته باشند. در هر خط یک رکورد وجود دارد. فیلدها با زبانه جدا شده اند. سه تا هستند
انواع رکوردها: رشته مقدار، رشته محدوده و رشته درست/نادرست. میدان اول،
'V'، 'R' یا 'T' نوع رکورد را نشان می دهد.
* رشته های ارزش
* --------------
* فیلد 1 = 'V'
* فیلد 2 = مخفف فیلدی که این رشته مقدار مربوط به آن است
* فیلد 3 = مقدار صحیح
* فیلد 4 = رشته
*
* رشته های محدوده
* --------------
* فیلد 1 = 'R'
* فیلد 2 = مخفف فیلد که این رشته محدوده با آن مطابقت دارد
* فیلد 3 = مقدار صحیح: کران پایین
* فیلد 4 = مقدار صحیح: کران بالا
* فیلد 5 = رشته
*
* رشته های درست/نادرست
* -------------------
* فیلد 1 = 'T'
* فیلد 2 = مخفف فیلد که این رشته درست/نادرست با آن مطابقت دارد
* فیلد 3 = رشته واقعی
* فیلد 4 = رشته غلط
-h نسخه و گزینه ها و خروجی ها را چاپ کنید.
-اچ
فهرستی از ورودیهای یک فایل «hosts» را بخوانید، که سپس در یک capture نوشته میشود
فایل. دلالت دارد -W n. می توان چندین بار تماس گرفت.
فرمت فایل "میزبان" در مستند شده استhttp://en.wikipedia.org/wiki/Hosts_(پرونده)>.
-من | -
نام رابط یا لوله شبکه را برای استفاده برای ضبط بسته های زنده تنظیم کنید.
نام های رابط شبکه باید با یکی از نام های فهرست شده در " مطابقت داشته باشد.کوسه -D" (شرح داده شده
در بالا)؛ یک عدد، همانطور که توسط "کوسه -D"، همچنین می تواند استفاده شود. اگر از یونیکس استفاده می کنید،
"netstat -i"یا"ifconfig -a" همچنین ممکن است برای فهرست کردن نام های رابط کار کند، اگرچه نه
تمام نسخه های یونیکس از -a گزینه ای برای ifconfig.
اگر هیچ رابطی مشخص نشده باشد، تی شارک لیست رابط ها را جستجو می کند و عبارت را انتخاب می کند
اولین رابط غیر حلقه ای در صورت وجود هر گونه رابط غیر حلقه ای، و انتخاب
اولین رابط حلقه بک اگر رابط های غیر حلقه بک وجود نداشته باشد. اگر وجود ندارد
اصلاً رابط ها، تی شارک یک خطا گزارش می دهد و ضبط را شروع نمی کند.
برای خواندن دادهها، نام لولهها باید نام FIFO (لوله نامدار) یا «-» باشد.
ورودی استاندارد داده های خوانده شده از لوله ها باید در قالب pcap استاندارد باشد.
این گزینه می تواند چندین بار رخ دهد. هنگام گرفتن عکس از چندین رابط،
فایل capture با فرمت pcap-ng ذخیره می شود.
توجه: نسخه Win32 از تی شارک گرفتن از لوله ها را پشتیبانی نمی کند!
-I رابط را در "حالت مانیتور" قرار می دهم. این فقط در IEEE 802.11 Wi-Fi پشتیبانی می شود
رابط ها، و فقط در برخی از سیستم عامل ها پشتیبانی می شود.
توجه داشته باشید که در حالت مانیتور، آداپتور ممکن است از شبکه ای که با آن استفاده می کند جدا شود
مرتبط است، به طوری که شما نمی توانید از هیچ شبکه بی سیمی با آن استفاده کنید
آداپتور این می تواند از دسترسی به فایل ها در سرور شبکه یا حل و فصل میزبان جلوگیری کند
نام ها یا آدرس های شبکه، اگر در حالت مانیتور عکس می گیرید و متصل نیستید
به شبکه دیگری با آداپتور دیگر.
این گزینه می تواند چندین بار رخ دهد. اگر قبل از اولین وقوع استفاده شود -i
گزینه، حالت مانیتور را برای همه رابط ها فعال می کند. اگر بعد از یک -i گزینه،
حالت مانیتور را برای رابط مشخص شده توسط آخرین فعال می کند -i انتخاب
قبل از این گزینه رخ می دهد.
-ک
کلیدهای کریپتو کربروس را از فایل keytab مشخص شده بارگیری کنید. این گزینه قابل استفاده است
چندین بار برای بارگیری کلیدها از چندین فایل.
مثال: -K krb5.keytab
-l خروجی استاندارد را پس از چاپ اطلاعات مربوط به هر بسته شستشو دهید. (این هست
به طور دقیق، اگر خط بافر نیست -V مشخص شد؛ با این حال، همان است
خط بافر اگر -V مشخص نشده است، زیرا تنها یک خط برای هر بسته چاپ می شود،
و به عنوان -l معمولاً هنگام لولهکشی یک ضبط زنده به یک برنامه یا اسکریپت استفاده میشود، به طوری که
خروجی یک بسته به محض مشاهده و تشریح بسته نمایش داده می شود، باید
به همان خوبی خط بافر واقعی کار می کند. ما این کار را به عنوان یک راه حل برای کمبود انجام می دهیم
در کتابخانه Microsoft Visual C++ C.)
این ممکن است هنگام لوله گذاری خروجی مفید باشد تی شارک به برنامه دیگری، به معنای آن
که برنامه ای که خروجی به آن لوله می شود، داده های جدا شده را برای یک بسته می بیند
به محض تی شارک بسته را می بیند و آن خروجی را به جای دیدن آن تولید می کند
تنها زمانی که بافر خروجی استاندارد حاوی آن داده ها پر شود.
-L انواع پیوند داده های پشتیبانی شده توسط رابط را فهرست کرده و از آن خارج شوید. انواع پیوندهای گزارش شده
می تواند برای استفاده شود -y گزینه.
-n غیر فعال کردن وضوح نام شیء شبکه (مانند نام میزبان، نام پورت TCP و UDP). را
-N پرچم ممکن است این یکی را لغو کند.
-ن
حل نام را فقط برای انواع خاصی از آدرسها و شماره پورتها روشن کنید
حل نام برای انواع دیگر آدرس ها و شماره پورت خاموش است. این پرچم
نادیده گرفتن -n اگر هر دو -N و -n حضور دارند. اگر هر دو -N و -n پرچم ها حضور ندارند،
همه وضوح نام روشن است.
آرگومان رشته ای است که ممکن است حاوی حروف زیر باشد:
C برای فعال کردن جستجوهای همزمان (ناهمزمان) DNS
d برای فعال کردن وضوح از بسته های DNS ضبط شده
m برای فعال کردن وضوح آدرس MAC
n برای فعال کردن وضوح آدرس شبکه
N برای فعال کردن استفاده از حل کننده های خارجی (به عنوان مثال، DNS) برای وضوح آدرس شبکه
t برای فعال کردن وضوح شماره پورت لایه انتقال
-o :
یک مقدار ترجیحی تنظیم کنید، مقدار پیشفرض و هر مقداری که از a خوانده میشود لغو شود
فایل ترجیحی آرگومان گزینه یک رشته از فرم است پیش نام:ارزش,
جایی که پیش نام نام ترجیح است (که همان نامی است که ظاهر می شود
در فایل ترجیحی)، و ارزش مقداری است که باید روی آن تنظیم شود.
-O
شبیه به -V گزینه، اما علل تی شارک فقط برای نشان دادن نمای دقیق کاما-
لیست جدا شده از پروتکل مشخص شده، به جای نمای دقیق همه پروتکل ها.
استفاده از خروجی "کوسه -G پروتکلبرای پیدا کردن اختصارات پروتکل های شما
می تواند مشخص کند.
-p نکن اینترفیس را در حالت بی بند و بار قرار دهید. توجه داشته باشید که رابط ممکن است در
حالت بی بند و باری به دلایل دیگری؛ از این رو، -p نمی توان برای اطمینان از اینکه
تنها ترافیکی که ضبط می شود، ترافیکی است که به یا از دستگاهی که روی آن است ارسال می شود تی شارک
در حال اجرا، پخش ترافیک و ترافیک چندپخشی به آدرس های دریافت شده توسط آن است
ماشین
این گزینه می تواند چندین بار رخ دهد. اگر قبل از اولین وقوع استفاده شود -i
گزینه، هیچ رابطی در حالت بیجا قرار نخواهد گرفت. اگر بعد از یک -i
گزینه، رابط مشخص شده توسط آخرین -i گزینه ای که قبل از این گزینه رخ می دهد
در حالت بی بند و باری قرار نخواهد گرفت.
-P خلاصه بسته را رمزگشایی و نمایش می دهد، حتی اگر داده های بسته خام را با استفاده از آن بنویسید -w
گزینه.
-q هنگام گرفتن بسته ها، تعداد پیوسته بسته های گرفته شده را نمایش ندهید
معمولاً هنگام ذخیره یک عکس در یک فایل نشان داده می شود. در عوض، فقط در پایان نمایش داده شود
گرفتن، تعداد بسته های ضبط شده است. در سیستم هایی که از سیگنال SIGINFO پشتیبانی می کنند،
مانند BSD های مختلف، می توانید با تایپ کردن خود باعث شوید که تعداد فعلی نمایش داده شود
کاراکتر "وضعیت" (معمولا control-T، اگرچه ممکن است توسط "غیرفعال" تنظیم شود
حداقل در برخی از BSD ها به طور پیش فرض وجود دارد، بنابراین باید به صراحت آن را تنظیم کنید تا از آن استفاده کنید).
هنگام خواندن یک فایل ضبط، یا هنگام ضبط و ذخیره نکردن فایل، چاپ نکنید
اطلاعات بسته؛ اگر از a استفاده می کنید این مفید است -z گزینه ای برای محاسبه آمار
و نمی خواهید اطلاعات بسته چاپ شود، فقط آمار.
-Q هنگام گرفتن بسته ها، فقط خطاهای واقعی را نمایش دهید. این خروجی کمتر از -q
گزینه، بنابراین نام رابط و تعداد کل بسته ها و پایان یک ضبط نیست
به stderr ارسال شد.
-r
خواندن داده های بسته از پرونده، می تواند هر فرمت فایل ضبط پشتیبانی شده باشد (از جمله
فایل های gzipped). در اینجا می توان از لوله های نامگذاری شده یا stdin (-) استفاده کرد اما فقط با
فرمت های فایل خاص (غیر فشرده) ضبط می شود (به ویژه: آنهایی که قابل خواندن هستند
بدون عقب نشینی).
-ر
باعث فیلتر مشخص شده (که از نحو فیلترهای خواندن/نمایش استفاده می کند، به جای
فیلترهای کپچر) که در اولین گذر تحلیل اعمال شود. بسته ها نه
مطابق با فیلتر برای پاس های آینده در نظر گرفته نمی شود. فقط با
چند پاس، -2 را ببینید. برای فیلتر کردن منظم در کالبد شکافی تک گذر به جای -Y مراجعه کنید.
توجه داشته باشید که نمی توان از فیلدهای آینده نگر مانند "پاسخ در قاب #" استفاده کرد
این فیلتر، زیرا زمانی که این فیلتر اعمال می شود محاسبه نمی شود.
-s
طول پیشفرض عکس فوری را برای استفاده در هنگام ضبط دادههای زنده تنظیم کنید. نه بیشتر از snaplen
بایت های هر بسته شبکه در حافظه خوانده می شود یا در دیسک ذخیره می شود. مقدار 0
طول یک عکس فوری 65535 را مشخص می کند، به طوری که بسته کامل گرفته می شود. این است
به طور پیش فرض
این گزینه می تواند چندین بار رخ دهد. اگر قبل از اولین وقوع استفاده شود -i
گزینه، طول پیش فرض عکس فوری را تنظیم می کند. اگر بعد از یک -i گزینه را تنظیم می کند
طول عکس فوری برای رابط مشخص شده توسط آخرین -i گزینه ای که قبلا رخ داده است
این گزینه اگر طول عکس فوری به طور خاص تنظیم نشده باشد، عکس فوری پیش فرض است
طول در صورت ارائه استفاده می شود.
-س
جداکننده خط را تنظیم کنید تا بین بسته ها چاپ شود.
-ta|ad|adoy|d|dd|e|r|u|ud|udoy
قالب مهر زمانی بسته چاپ شده در خطوط خلاصه را تنظیم کنید. قالب می تواند باشد
یکی از:
a مطلق: زمان مطلق، به عنوان زمان محلی در منطقه زمانی شما، زمان واقعی است
بسته ضبط شد، بدون تاریخ نمایش داده شود
ad مطلق با تاریخ: تاریخ مطلق که به صورت YYYY-MM-DD و زمان به صورت محلی نمایش داده می شود
زمان در منطقه زمانی شما، زمان و تاریخ واقعی است که بسته گرفته شده است
دلخور مطلق با تاریخ با استفاده از روز سال: تاریخ مطلق، به صورت YYYY/DOY نمایش داده می شود،
و زمان، به عنوان زمان محلی در منطقه زمانی شما، زمان و تاریخ واقعی بسته است
اسیر
d دلتا: زمان دلتا زمانی است که بسته قبلی ضبط شده است
dd delta_displayed: زمان delta_displayed زمان نمایش داده شده قبلی است
بسته ضبط شد
e epoch: زمان بر حسب ثانیه از زمان (1 ژانویه 1970 00:00:00)
r نسبی: زمان نسبی زمان سپری شده بین بسته اول و بسته است
بسته فعلی
u UTC: زمان مطلق، به عنوان UTC، زمان واقعی ضبط بسته است، با شماره
تاریخ نمایش داده شده
ud UTC با تاریخ: تاریخ مطلق که به صورت YYYY-MM-DD نمایش داده می شود و زمان به عنوان UTC نشان داده می شود.
زمان و تاریخ واقعی دریافت بسته
udoy UTC با تاریخ با استفاده از روز سال: تاریخ مطلق، نمایش داده شده به عنوان YYYY/DOY، و
زمان، به عنوان UTC، زمان و تاریخ واقعی است که بسته گرفته شده است
فرمت پیش فرض نسبی است.
فیلدهای -T|pdml|ps|psml|متن
هنگام مشاهده داده های بسته رمزگشایی شده، فرمت خروجی را تنظیم کنید. گزینه ها یکی هستند
از:
زمینه مقادیر فیلدهای مشخص شده با -e گزینه، به شکلی که توسط
-E گزینه. مثلا،
فیلدهای -T -E separator=، -E quote=d
مقادیر جدا شده با کاما (CSV) خروجی مناسب برای وارد کردن به شما ایجاد می کند
برنامه صفحه گسترده مورد علاقه
pdf زبان نشانه گذاری جزئیات بسته، یک قالب مبتنی بر XML برای جزئیات یک رمزگشایی شده است
بسته این اطلاعات معادل جزئیات بسته چاپ شده با آن است -V
پرچم.
ps پست اسکریپت برای یک خلاصه یک خطی قابل خواندن توسط انسان از هر یک از بسته ها، یا a
نمایش چند خطی از جزئیات هر یک از بسته ها، بسته به اینکه آیا -V
پرچم مشخص شد
psml زبان نشانه گذاری خلاصه بسته، قالبی مبتنی بر XML برای اطلاعات خلاصه
از یک بسته رمزگشایی شده این اطلاعات معادل اطلاعات نشان داده شده در
خلاصه یک خطی به طور پیش فرض چاپ شده است.
متن متن خلاصه یک خطی قابل خواندن توسط انسان از هر یک از بسته ها یا یک چند خطی
مشاهده جزئیات هر یک از بسته ها، بسته به اینکه آیا -V پرچم بود
مشخص شده. این پیش فرض است.
-u
نوع ثانیه را مشخص می کند. انتخاب های معتبر عبارتند از:
s برای چند ثانیه
hms برای ساعت ها، دقیقه ها و ثانیه ها
-v نسخه را چاپ کرده و خارج شوید.
-V علت تی شارک برای چاپ نمایی از جزئیات بسته.
-w | -
داده های بسته خام را بنویسید مجموعه یا به خروجی استاندارد اگر مجموعه است '-'.
توجه: -w داده های بسته خام را ارائه می دهد نه متن. اگر می خواهید خروجی متن داشته باشید باید
تغییر مسیر stdout (به عنوان مثال با استفاده از '>')، از آن استفاده نکنید -w گزینه ای برای این
-دبلیو
اگر فرمت آن را پشتیبانی می کند، اطلاعات اضافی را در فایل ذخیره کنید. مثلا،
-F pcapng -W n
رکوردهای وضوح نام میزبان را به همراه بسته های ضبط شده ذخیره می کند.
نسخههای بعدی Wireshark ممکن است به طور خودکار فرمت عکسبرداری را به آن تغییر دهند pcapng as
مورد نیاز است
آرگومان رشته ای است که ممکن است حاوی حرف زیر باشد:
n نوشتن اطلاعات وضوح آدرس شبکه (فقط pcapng)
-x علت تی شارک برای چاپ یک هگز و اسکی از داده های بسته پس از چاپ
خلاصه و/یا جزییات، اگر یکی از آنها نیز نمایش داده شود.
-ایکس
گزینه ای را برای ارسال به a مشخص کنید تی شارک مدول. گزینه Extension در
فرم extension_key:ارزش، که در آن extension_key می تواند:
lua_script:lua_script_filename می گوید تی شارک برای بارگذاری اسکریپت داده شده علاوه بر
اسکریپت های پیش فرض Lua
lua_scriptتعداد:استدلال می گوید تی شارک برای انتقال آرگومان داده شده به خط lua
با «num» مشخص میشود، که ترتیب نمایهشده اعداد فرمان «lua_script» است.
به عنوان مثال، اگر فقط یک اسکریپت با '-X lua_script:my.lua' بارگیری شود، سپس '-X
lua_script1:foo رشته "foo" را به اسکریپت "my.lua" منتقل می کند. اگر دو اسکریپت
بارگذاری شدند، مانند '-X lua_script:my.lua' و '-X lua_script:other.lua' در آن
ترتیب، سپس یک '-X lua_script2:bar' رشته 'bar' را به lua دوم منتقل می کند.
اسکریپت، یعنی 'other.lua'.
read_format:فرمت فایل می گوید تی شارک برای استفاده از فرمت فایل داده شده برای خواندن در فایل
(فایل ارائه شده در -r گزینه فرمان). ارائه شماره فرمت فایل استدلال یا یک
یک نامعتبر، فایلی با فرمت های فایل موجود برای استفاده تولید می کند.
-y
نوع پیوند داده را برای استفاده در هنگام گرفتن بسته ها تنظیم کنید. مقادیر گزارش شده توسط -L هستند
مقادیر قابل استفاده
این گزینه می تواند چندین بار رخ دهد. اگر قبل از اولین وقوع استفاده شود -i
گزینه، نوع پیوند ضبط پیش فرض را تنظیم می کند. اگر بعد از یک -i گزینه، تنظیم می کند
نوع پیوند ضبط برای رابط مشخص شده توسط آخرین -i گزینه رخ می دهد
قبل از این گزینه اگر نوع پیوند ضبط به طور خاص تنظیم نشده باشد، پیش فرض است
در صورت ارائه از نوع پیوند ضبط استفاده می شود.
-ی
باعث فیلتر مشخص شده (که از نحو فیلترهای خواندن/نمایش استفاده می کند، به جای
فیلترهای جذب) باید قبل از چاپ یک شکل رمزگشایی شده از بسته ها اعمال شود
نوشتن بسته ها در یک فایل بسته های مطابق با فیلتر چاپ یا نوشته می شوند
فایل؛ بسته هایی که بسته های منطبق به آنها وابسته است (مثلاً قطعات)، چاپ نمی شوند
اما در پرونده نوشته می شوند. بسته هایی که با فیلتر مطابقت ندارند و به آنها وابسته نیستند
دور انداخته می شود تا اینکه چاپ یا نوشته شود.
از این به جای -R برای فیلتر کردن با استفاده از تجزیه و تحلیل تک گذر استفاده کنید. اگر انجام دو پاس
تجزیه و تحلیل (نگاه کنید به -2) سپس فقط بسته های مطابق با فیلتر خوانده شده (در صورت وجود) خواهد بود
در برابر این فیلتر بررسی شد.
-z
گرفتن تی شارک برای جمع آوری انواع مختلف آمار و نمایش نتیجه پس از آن
اتمام خواندن فایل ضبط استفاده کنید -q اگر در حال خواندن یک فایل ضبط هستید، پرچم گذاری کنید
و فقط می خواهید آمار چاپ شود، نه هر گونه اطلاعات در هر بسته.
توجه داشته باشید که -z proto- گزینه متفاوت است - باعث نمی شود آمار وجود داشته باشد
جمع آوری و چاپ پس از تکمیل ضبط، بسته معمولی را اصلاح می کند
خروجی خلاصه برای شامل مقادیر فیلدهای مشخص شده با گزینه. از این رو
شما نباید از -q گزینه، زیرا آن گزینه چاپ را متوقف می کند
خروجی خلاصه بسته معمولی، و همچنین نباید از آن استفاده کنید -V گزینه، همانطور که می شود
باعث می شود اطلاعات جزئیات بسته به جای اطلاعات خلاصه بسته چاپ شود.
آمارهای اجرا شده در حال حاضر عبارتند از:
-z کمک
نمایش تمام مقادیر ممکن برای -z.
-z afp,srt[,فیلتر]
نمایش آمار زمان پاسخ سرویس پروتکل پرونده اپل.
-z شتر، srt
-z مقایسه کنشروع,متوقف کردن,ttl[0|1],سفارش[0|1],واریانس[,فیلتر]
اگر اختیاری است فیلتر مشخص شده است، فقط بسته هایی که با فیلتر مطابقت دارند، خواهند بود
در محاسبات استفاده شود.
-z تبدیل،نوع[,فیلتر]
جدولی ایجاد کنید که تمام مکالماتی را که می توان در عکس مشاهده کرد فهرست می کند.
نوع انواع نقطه پایانی مکالمه را که می خواهیم برای آنها تولید کنیم را مشخص می کند
آمار؛ در حال حاضر موارد پشتیبانی شده عبارتند از:
آدرس های بلوتوث "بلوتوث".
آدرس های اترنت "eth".
آدرس های کانال فیبر "fc".
آدرس های FDDI "fddi".
آدرس های IPv4 "ip".
آدرس های IPv6 "ipv6".
آدرس های IPX "ipx".
آدرس های پیام JXTA "jxta".
اتصالات NCP "ncp".
اتصالات RSVP "rsvp".
آدرس های SCTP "sctp".
جفت سوکت TCP/IP "tcp" هر دو IPv4 و IPv6 پشتیبانی می شوند
آدرس های حلقه رمزی "tr".
آدرس های USB "usb".
جفت سوکت UDP/IP "udp" هر دو IPv4 و IPv6 پشتیبانی می شوند
آدرس های "wlan" IEEE 802.11
اگر اختیاری است فیلتر مشخص شده است، فقط بسته هایی که با فیلتر مطابقت دارند، خواهند بود
در محاسبات استفاده شود.
جدول با یک خط برای هر مکالمه ارائه می شود و شماره را نمایش می دهد
بسته ها/بایت ها در هر جهت و همچنین تعداد کل بسته ها/بایت ها.
جدول بر اساس تعداد کل فریم ها مرتب شده است.
-z dcerpc، srt،uuid,عمده.خردسال[,فیلتر]
داده های SRT (زمان پاسخگویی سرویس) تماس/پاسخ را برای رابط DCERPC جمع آوری کنید uuid,
نسخه عمده.خردسال. داده های جمع آوری شده تعداد تماس ها برای هر رویه است،
MinSRT، MaxSRT و AvgSRT.
مثال: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0 داده ها را جمع آوری خواهد کرد
برای رابط CIFS SAMR.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
اگر اختیاری است فیلتر ارائه شده است، آمار فقط بر روی آن ها محاسبه می شود
فراخوانی هایی که با آن فیلتر مطابقت دارند.
مثال: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0,ip.addr==1.2.3.4
آمار SAMR SRT را برای یک میزبان خاص جمع آوری می کند.
-z bootp,stat[,فیلتر]
نمایش آمار DHCP (BOOTP).
-z قطر، avp[،cmd.code,رشته,رشته,...]
این گزینه استخراج مهم ترین میدان های قطری را از بزرگ امکان پذیر می کند
ضبط فایل ها دقیقاً یک خط متن برای هر پیام قطری با همسان
قطر.cmd.code چاپ خواهد شد.
کد دستوری قطر خالی یا '*' را می توان برای هر کدام تعیین کرد قطر.cmd.code
مثال: -z قطر، avp مجموعه فیلد پیش فرض را از پیام های قطر استخراج کنید.
مثال: -z قطر, avp, 280 مجموعه فیلد پیش فرض را از قطر DWR استخراج کنید
پیام ها.
مثال: -z قطر, avp, 272 مجموعه فیلد پیش فرض را از پیام های CC قطر استخراج کنید.
مهم ترین فیلدها را از پیام های CC قطر استخراج کنید:
کوسه -r file.cap.gz -q -z
قطر,avp,272,نوع-درخواست-CC,شماره-درخواست-CC-شناسه-شناسه-اشتراک-شناسه-داده-گروه-رتبه-کد-نتیجه
فیلدهای زیر برای هر پیام قطر چاپ می شود:
"قاب" شماره قاب.
"زمان" زمان یونیکس رسیدن فریم.
آدرس منبع "src".
پورت منبع "srcport".
آدرس مقصد "dst".
پورت مقصد "dstport".
"proto" رشته ثابت 'قطر'، که می تواند برای پردازش پس از خروجی tshark استفاده شود. به عنوان مثال grep/sed/awk.
دنباله "msgnr". تعداد پیام قطر داخل قاب به عنوان مثال '2' برای پیام قطر سوم در همان قاب.
"is_request" "0" اگر پیام یک درخواست است، "1" اگر پیام یک پاسخ است.
"cmd" diameter.cmd_code، به عنوان مثال "272" برای پیام های کنترل اعتبار.
"req_frame" تعداد فریمی که درخواست منطبق در آن یافت شد یا '0'.
"ans_frame" تعداد فریمی که در آن پاسخ منطبق پیدا شد یا "0".
زمان پاسخ "resp_time" بر حسب ثانیه، در صورتی که درخواست/پاسخ منطبق در ردیابی یافت نشد، "0". به عنوان مثال در آغاز یا پایان گرفتن.
-z قطر، avp گزینه بسیار سریعتر از -V -T متن or -T pdf گزینه.
-z قطر، avp گزینه قدرتمندتر از -T رشته و -z پروتو، colinfo
گزینه.
پیام های قطر چندگانه در یک قاب پشتیبانی می شوند.
چندین فیلد با همان نام در یک پیام قطری پشتیبانی می شوند، به عنوان مثال
قطر.اشتراک-شناسه-داده or قطر.رتبه-گروه.
توجه داشته باشید: کوسه -q گزینه ای برای سرکوب پیش فرض توصیه می شود کوسه خروجی.
-z dns، درخت[،فیلتر]
خلاصه ای از بسته های DNS گرفته شده ایجاد کنید. اطلاعات عمومی جمع آوری شده است
مانند توزیع qtype و qclass. برای برخی از داده ها (به عنوان طول qname یا DNS
محموله) مقادیر حداکثر، حداقل و میانگین نیز نمایش داده می شود.
-z نقاط پایانی،نوع[,فیلتر]
جدولی ایجاد کنید که تمام نقاط انتهایی قابل مشاهده در عکس را فهرست کند. نوع
انواع نقطه پایانی را مشخص می کند که می خواهیم آمار را برای آنها تولید کنیم.
در حال حاضر موارد پشتیبانی شده عبارتند از:
آدرس های بلوتوث "بلوتوث".
آدرس های اترنت "eth".
آدرس های کانال فیبر "fc".
آدرس های FDDI "fddi".
آدرس های IPv4 "ip".
آدرس های IPv6 "ipv6".
آدرس های IPX "ipx".
آدرس های پیام JXTA "jxta".
اتصالات NCP "ncp".
اتصالات RSVP "rsvp".
آدرس های SCTP "sctp".
جفت سوکت TCP/IP "tcp" هر دو IPv4 و IPv6 پشتیبانی می شوند
آدرس های حلقه رمزی "tr".
آدرس های USB "usb".
جفت سوکت UDP/IP "udp" هر دو IPv4 و IPv6 پشتیبانی می شوند
آدرس های "wlan" IEEE 802.11
اگر اختیاری است فیلتر مشخص شده است، فقط بسته هایی که با فیلتر مطابقت دارند، خواهند بود
در محاسبات استفاده شود.
جدول با یک خط برای هر مکالمه ارائه می شود و شماره را نمایش می دهد
بسته ها/بایت ها در هر جهت و همچنین تعداد کل بسته ها/بایت ها.
جدول بر اساس تعداد کل فریم ها مرتب شده است.
-z کارشناس[,خطا|,اخطار|,یادداشت|,چت][، فیلتر]
اطلاعات مربوط به تمام اطلاعات متخصص را جمع آوری می کند و آنها را به ترتیب نمایش می دهد.
گروه بندی بر اساس شدت
مثال: -z متخصص، جرعه موارد متخصص را با تمام شدت برای فریم هایی که نشان می دهد
مطابق با پروتکل جرعه
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
اگر اختیاری است فیلتر ارائه شده است، آمار فقط بر روی آن ها محاسبه می شود
فراخوانی هایی که با آن فیلتر مطابقت دارند.
مثال: -z "کارشناس، توجه، tcp" فقط موارد متخصص را برای قاب هایی که
شامل پروتکل tcp، با شدت توجه یا بالاتر.
-z دنبال کردن،متشکرم,حالت,فیلتر[،دامنه]
محتویات یک جریان TCP یا UDP را بین دو گره نمایش می دهد. داده های ارسال شده توسط
گره دوم با یک زبانه پیشوندی دارد تا آن را از داده های ارسالی متمایز کند
اولین گره
متشکرم پروتکل حمل و نقل را مشخص می کند. می تواند یکی از موارد زیر باشد:
tcp TCP
udp UDP
ssl SSL
حالت حالت خروجی را مشخص می کند. می تواند یکی از موارد زیر باشد:
خروجی ascii ASCII با نقطه برای کاراکترهای غیر قابل چاپ
خروجی ebcdic EBCDIC با نقطه برای کاراکترهای غیر قابل چاپ
داده های هگزا دسیمال و اسکی با افست
داده های هگزادسیمال خام
از آنجایی که خروجی در ASCII or ebcdic حالت ممکن است شامل خطوط جدید، طول هر کدام باشد
بخش خروجی به اضافه یک خط جدید قبل از هر بخش خروجی قرار می گیرد.
فیلتر جریانی که قرار است نمایش داده شود را مشخص می کند. جریان های UDP/TCP با انتخاب می شوند
یا نمایه جریان یا آدرس IP به اضافه جفت پورت. جریان های SSL انتخاب شده اند
با شاخص جریان مثلا:
ip-addr0:port0,ip-addr1:port1
شاخص جریان
محدوده به صورت اختیاری مشخص می کند که کدام "تکه" از جریان باید نمایش داده شود.
مثال: -z "follow,tcp,hex,1" محتویات اولین جریان TCP را نمایش می دهد
در قالب "هگز".
================================================== =================
دنبال کنید: tcp، hex
فیلتر: tcp.stream eq 1
Node 0: 200.57.7.197:32891
Node 1: 200.57.7.198:2906
00000000 00 00 00 22 00 00 00 07 00 0a 85 02 07 e9 00 02 ...".... ........
00000010 07 e9 06 0f 00 0d 00 04 00 00 00 01 00 03 00 06 ........ ........
00000020 1f 00 06 04 00 00 ......
00000000 00 01 00 00 ....
00000026 00 02 00 00
مثال: -z "follow,tcp,ascii,200.57.7.197:32891,200.57.7.198:2906" نمایش داده می شود
محتوای یک جریان TCP بین پورت 200.57.7.197 32891 و پورت 200.57.7.98
2906.
================================================== =================
دنبال کنید: tcp,ascii
فیلتر: (برای خوانایی حذف شده است)
Node 0: 200.57.7.197:32891
Node 1: 200.57.7.198:2906
38
...".....
................
4
....
-z h225، شمارنده[، فیلتر]
پیام های ITU-T H.225 و دلایل آنها را بشمارید. در ستون اول یک لیست دریافت می کنید
از پیام های H.225 و دلایل پیام H.225، که در ضبط فعلی رخ می دهد
فایل. تعداد وقوع هر پیام یا دلیل در قسمت نمایش داده می شود
ستون دوم
مثال: -z h225، شمارنده.
اگر اختیاری است فیلتر ارائه شده است، آمار فقط بر روی آن ها محاسبه می شود
فراخوانی هایی که با آن فیلتر مطابقت دارند. مثال: استفاده کنید -z "h225,counter,ip.addr==1.2.3.4" به
فقط آمار بسته های H.225 را که توسط میزبان در آدرس IP 1.2.3.4 رد و بدل می شود جمع آوری کنید.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
-z h225, srt[، فیلتر]
داده های SRT (زمان پاسخگویی سرویس) درخواست ها/پاسخ را برای ITU-T H.225 RAS جمع آوری کنید.
داده های جمع آوری شده تعداد تماس های هر ITU-T H.225 RAS نوع پیام، حداقل است.
SRT، حداکثر SRT، میانگین SRT، حداقل در بسته و حداکثر در بسته. شما خواهد شد
همچنین تعداد درخواست های باز (درخواست های پاسخ نداده)، پاسخ های رد شده را دریافت کنید
(پاسخ بدون درخواست تطبیق) و پیام های تکراری.
مثال: -z h225, srt
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
اگر اختیاری است فیلتر ارائه شده است، آمار فقط بر روی آن ها محاسبه می شود
فراخوانی هایی که با آن فیلتر مطابقت دارند.
مثال: -z "h225,srt,ip.addr==1.2.3.4" فقط آمار ITU-T H.225 را جمع آوری می کند
بسته های RAS که توسط میزبان در آدرس IP 1.2.3.4 مبادله می شوند.
-z هاست[,ipv4][,ipv6]
آدرسهای IPv4 و/یا IPv6 جمعآوریشده را در قالب «میزبان» تخلیه کنید. هم IPv4 و هم
آدرس های IPv6 به طور پیش فرض حذف می شوند.
آدرس ها از تعدادی منبع، از جمله فایل های استاندارد "میزبان" جمع آوری می شوند
و ترافیک را جذب کرد.
-z hpfeeds,tree[,فیلتر]
آمار ترافیک HPFEEDS مانند انتشار در هر کانال و کد عملیاتی را محاسبه کنید
توزیع.
-z http,stat,
توزیع آمار HTTP را محاسبه کنید. مقادیر نمایش داده شده وضعیت HTTP هستند
کدها و روش های درخواست HTTP
-z http,درخت
توزیع بسته HTTP را محاسبه کنید. مقادیر نمایش داده شده درخواست HTTP هستند
حالت ها و کدهای وضعیت HTTP.
-z http_req، درخت
درخواست های HTTP را توسط سرور محاسبه کنید. مقادیر نمایش داده شده نام سرور و
مسیر URI
-z http_srv، درخت
درخواست ها و پاسخ های HTTP را بر اساس سرور محاسبه کنید. برای درخواست های HTTP،
مقادیر نمایش داده شده آدرس IP سرور و نام میزبان سرور هستند. برای HTTP
پاسخ ها، مقادیر نمایش داده شده آدرس IP سرور و وضعیت هستند.
-z icmp,srt[,فیلتر]
مجموع درخواستهای اکو ICMP، پاسخها، ضرر و درصد ضرر را محاسبه کنید
حداقل، حداکثر، میانگین، میانه و نمونه آمار انحراف استاندارد SRT
معمولی از آنچه پینگ ارائه می دهد.
مثال: -z icmp,srt,ip.src==1.2.3.4 آمار ICMP SRT را برای ICMP جمع آوری خواهد کرد
بسته های درخواست echo که از یک میزبان خاص منشا می گیرند.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
-z icmpv6,srt[,فیلتر]
مجموع درخواست های اکو ICMPv6، پاسخ ها، ضرر و درصد ضرر را محاسبه کنید
حداقل، حداکثر، میانگین، میانه و نمونه آمار انحراف استاندارد SRT
معمولی از آنچه پینگ ارائه می دهد.
مثال: -z icmpv6,srt,ipv6.src==fe80::1 آمار ICMPv6 SRT را برای
بسته های درخواست اکو ICMPv6 که از یک میزبان خاص منشا می گیرند.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
-z io, phs[,فیلتر]
ایجاد آمارهای سلسله مراتبی پروتکل که تعداد بسته ها و بایت ها را فهرست می کند. اگر
نه فیلتر مشخص شده است که آمار برای همه بسته ها محاسبه خواهد شد. اگر یک
فیلتر آمار مشخص شده فقط برای آن دسته از بسته هایی محاسبه می شود که
با فیلتر مطابقت داشته باشد.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
-z آیو، آمار،فاصله[,فیلتر][،فیلتر][،فیلتر] ...
جمع آوری آمار بسته/بایت برای ضبط در فواصل زمانی فاصله ثانیه صورت گرفت.
فاصله می تواند به صورت یک ثانیه کامل یا کسری مشخص شود و می تواند باشد
با وضوح میکروثانیه (US) مشخص شده است. اگر فاصله 0 است، آمار خواهد شد
روی تمام بسته ها محاسبه شود.
اگر نه فیلتر مشخص شده است که آمار برای همه بسته ها محاسبه خواهد شد. اگر
یکی یا بیشتر فیلترها برای تصفیه آب آمار مشخص شده برای تمامی فیلترها محاسبه خواهد شد
و با یک ستون آمار برای هر فیلتر ارائه شده است.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
مثال: -z io,stat,1,ip.addr==1.2.3.4 آمار 1 ثانیه ای برای همه ایجاد می کند
ترافیک به/از میزبان 1.2.3.4.
مثال: -z "io,stat,0.001,smb&&ip.addr==1.2.3.4" آمار 1 میلی ثانیه برای
همه بسته های SMB به/از میزبان 1.2.3.4.
مثالهای فوق از دستور استاندارد برای تولید آمار استفاده میکنند
فقط تعداد بسته ها و بایت ها را در هر بازه محاسبه می کند.
io,stat همچنین می تواند آمار و محاسبه بسیار بیشتری انجام دهد شمردن(), SUM(), MIN(),
MAX (), AVG() و بار() با استفاده از یک نحو فیلتر کمی متفاوت:
-z io،stat،فاصله"[COUNT|SUM|MIN|MAX|AVG|LOAD](رشته)فیلتر"
نکته: نکته مهمی که در اینجا باید به آن توجه کرد این است که فیلتر اختیاری نیست و این
فیلدی که محاسبه بر اساس آن است باید بخشی از رشته فیلتر یا
محاسبه شکست خواهد خورد
بنابراین: -z io,stat,0.010,AVG(smb.time) کار نمی کند. استفاده کنید -z
io,stat,0.010,AVG(smb.time)smb.time بجای. همچنین توجه داشته باشید که یک زمینه می تواند وجود داشته باشد
چندین بار در داخل یک بسته و سپس چندین بار در یک بسته شمرده می شود
آن بسته ها
نکته: دومین نکته مهمی که باید به آن توجه کنید این است که سیستم را برای اعشار تنظیم می کند
جداکننده باید روی "." تنظیم شود! اگر روی "" تنظیم شود، آمار نخواهد بود
در هر فیلتر نمایش داده می شود.
شمردن(رشته)فیلتر - تعداد دفعاتی که این فیلد را محاسبه می کند نام (نه آن
مقدار) در هر بازه در لیست بسته های فیلتر شده ظاهر می شود. ''رشته'' می تواند هر کدام باشد
نمایش نام فیلتر
مثال: -z io,stat,0.010"COUNT(smb.sid)smb.sid"
این تعداد کل SIDهایی را که در هر بازه 10 میلیثانیه مشاهده میشود، شمارش میکند.
SUM(رشته)فیلتر - بر خلاف COUNT، ارزش از فیلد مشخص شده در هر جمع می شوند
فاصله زمانی. ''رشته'' فقط می تواند یک عدد صحیح، شناور، دوتایی یا نسبی با نام باشد
میدان زمان
مثال: -z io,stat,0.010"SUM(frame.len)frame.len"
تعداد کل بایت هایی را که به صورت دو طرفه در همه ارسال شده اند را گزارش می دهد
بسته ها در بازه زمانی 10 میلی ثانیه
حداقل حداکثر میانگین(رشته)فیلتر - حداقل، حداکثر یا میانگین مقدار فیلد در هر کدام
فاصله محاسبه می شود. فیلد مشخص شده باید یک عدد صحیح نامگذاری شده باشد، شناور،
میدان زمانی دوتایی یا نسبی برای فیلدهای زمانی نسبی، خروجی ارائه می شود
در ثانیه با شش رقم اعشاری با دقت گرد شده به نزدیکترین
میکروثانیه
در مثال زیر، زمان اولین تماس Read_AndX، آخرین Read_AndX
مقادیر پاسخ و حداقل، حداکثر و متوسط پاسخ خواندن نمایش داده می شود
زمان (SRTs) محاسبه می شود. توجه: اگر خط فرمان DOS ادامه یابد
کاراکتر ''^'' استفاده می شود، هر خط نمی تواند به کاما ختم شود، بنابراین در قسمت قرار می گیرد
ابتدای هر خط ادامه:
tshark -o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z io,stat,0,
"MIN(frame.time_relative)frame.time_relative و smb.cmd==0x2e و smb.flags.response==0،
"MAX(frame.time_relative)frame.time_relative و smb.cmd==0x2e و smb.flags.response==1"،
"MIN(smb.time)smb.time و smb.cmd==0x2e"،
"MAX(smb.time)smb.time و smb.cmd==0x2e"،
"AVG(smb.time)smb.time و smb.cmd==0x2e"
================================================== ================================================== ==
آمار IO
ستون شماره 0: MIN(frame.time_relative)frame.time_relative و smb.cmd==0x2e و smb.flags.response==0
ستون شماره 1: MAX(frame.time_relative)frame.time_relative و smb.cmd==0x2e و smb.flags.response==1
ستون شماره 2: MIN(smb.time)smb.time و smb.cmd==0x2e
ستون شماره 3: MAX(smb.time)smb.time و smb.cmd==0x2e
ستون شماره 4: AVG(smb.time)smb.time و smb.cmd==0x2e
| ستون شماره 0 | ستون شماره 1 | ستون شماره 2 | ستون شماره 3 | ستون شماره 4 |
زمان | MIN | حداکثر | MIN | حداکثر | AVG |
000.000- 0.000000 7.704054 0.000072 0.005539 0.000295
================================================== ================================================== ==
دستور زیر میانگین اندازه PDU پاسخ خواندن SMB، کل را نشان می دهد
تعداد بایت های PDU خوانده شده، متوسط اندازه PDU درخواست Write SMB، و کل
تعداد بایت های منتقل شده در SMB Write PDU:
tshark -n -q -r smb_reads_writes.cap -z io,stat,0,
"AVG(smb.file.rw.length)smb.file.rw.length و smb.cmd==0x2e و smb.response_to"
"SUM(smb.file.rw.length)smb.file.rw.length و smb.cmd==0x2e و smb.response_to"
"AVG(smb.file.rw.length)smb.file.rw.length و smb.cmd==0x2f و نه smb.response_to"
"SUM(smb.file.rw.length)smb.file.rw.length و smb.cmd==0x2f و نه smb.response_to"
=========================================================================================================================================================== =====================================
آمار IO
ستون شماره 0: AVG(smb.file.rw.length)smb.file.rw.length و smb.cmd==0x2e و smb.response_to
ستون شماره 1: SUM(smb.file.rw.length)smb.file.rw.length و smb.cmd==0x2e و smb.response_to
ستون شماره 2: AVG(smb.file.rw.length)smb.file.rw.length و smb.cmd==0x2f و نه smb.response_to
ستون شماره 3: SUM(smb.file.rw.length)smb.file.rw.length و smb.cmd==0x2f و نه smb.response_to
| ستون شماره 0 | ستون شماره 1 | ستون شماره 2 | ستون شماره 3 |
زمان | AVG | جمع | AVG | جمع |
000.000- 30018 28067522 72 3240
=========================================================================================================================================================== =====================================
بار(رشته)فیلتر - LOAD/Queue-Depth در هر بازه محاسبه می شود. را
فیلد مشخص شده باید یک فیلد زمانی نسبی باشد که نشان دهنده زمان پاسخ باشد.
به عنوان مثال smb.time. برای هر بازه صف-عمق برای مشخص شده
پروتکل محاسبه می شود.
دستور زیر میانگین LOAD SMB را نمایش می دهد. مقدار 1.0 نشان دهنده است
یک I/O در پرواز
tshark -n -q -r smb_reads_writes.cap
-z "io,stat,0.001,LOAD(smb.time)smb.time"
================================================== ============================
آمار IO
فاصله زمانی: 0.001000 ثانیه
ستون شماره 0: LOAD(smb.time)smb.time
| ستون شماره 0 |
زمان | بارگذاری |
0000.000000-0000.001000 1.000000
0000.001000-0000.002000 0.741000
0000.002000-0000.003000 0.000000
0000.003000-0000.004000 1.000000
قاب | بایت[()فیلتر] - تعداد کل فریم ها یا بایت ها را نمایش می دهد. در
فیلد فیلتر اختیاری است اما در صورت وجود باید با ''()'' اضافه شود.
دستور زیر پنج ستون را نمایش می دهد: تعداد کل فریم ها و بایت ها
(به صورت دو طرفه منتقل می شود) با استفاده از یک کاما، همان دو آمار با استفاده از
فریم های فریم و BYTES، تعداد کل فریم هایی که حداقل یک فریم دارند
پاسخ خواندن SMB، و تعداد کل بایت های ارسال شده به مشتری
(یک جهته) در آدرس IP 10.1.0.64.
tshark -o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z io,stat,0,,FRAMES,BYTES,
"FRAMES()smb.cmd==0x2e و smb.response_to،"BYTES()ip.dst==10.1.0.64"
================================================== ================================================== ====================
آمار IO
ستون شماره 0:
ستون شماره 1: فریم ها
ستون شماره 2: BYTES
ستون شماره 3: FRAMES()smb.cmd==0x2e و smb.response_to
ستون #4: BYTES()ip.dst==10.1.0.64
| ستون شماره 0 | ستون شماره 1 | ستون شماره 2 | ستون شماره 3 | ستون شماره 4 |
زمان | قاب | بایت | قاب | بایت | قاب | بایت |
000.000- 33576 29721685 33576 29721685 870 29004801
================================================== ================================================== ====================
-z mac-lte،stat[، فیلتر]
این گزینه یک شمارنده برای پیام های LTE MAC فعال می کند. دریافت خواهید کرد
اطلاعاتی در مورد حداکثر تعداد UE/TTI، پیام های رایج و مختلف
شمارنده برای هر UE که در گزارش ظاهر می شود.
مثال: -z mac-lte,stat.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
اگر اختیاری است فیلتر ارائه شده است، آمار فقط برای آنها محاسبه می شود
فریم هایی که با آن فیلتر مطابقت دارند. مثال: -z "mac-lte,stat,mac-lte.rnti3000"> خواهد شد
فقط برای UE هایی با RNTI اختصاص داده شده که مقدار آن بیش از 3000 است، آمار جمع آوری می کند.
-z megaco, rtd[، فیلتر]
داده های RTD (تاخیر زمان پاسخ) درخواست ها/پاسخ را برای MEGACO جمع آوری کنید. (این هست
مشابه -z smb,srt). دادههای جمعآوریشده تعداد تماسهایی است که برای هر یک از آنها شناخته شده است
MEGACO Type، MinRTD، MaxRTD و AvgRTD. علاوه بر این شما تعداد
درخواستها/پاسخهای تکراری، درخواستهای بدون پاسخ، پاسخهایی که مطابقت ندارند
با هر درخواستی مثال: -z megaco, rtd.
اگر اختیاری است فیلتر ارائه شده است، آمار فقط بر روی آن ها محاسبه می شود
فراخوانی هایی که با آن فیلتر مطابقت دارند. مثال: -z "megaco,rtd,ip.addr==1.2.3.4" فقط
جمع آوری آمار برای بسته های MEGACO که توسط میزبان در آدرس IP 1.2.3.4 رد و بدل شده است.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
-z mgcp,rtd[، فیلتر]
داده های درخواست ها/پاسخ RTD (تاخیر زمان پاسخ) را برای MGCP جمع آوری کنید. (این هست
مشابه -z smb,srt). داده های جمع آوری شده تعداد تماس ها برای هر MGCP شناخته شده است
نوع، MinRTD، MaxRTD و AvgRTD. علاوه بر این، تعداد موارد تکراری را دریافت می کنید
درخواستها/پاسخها، درخواستهای بدون پاسخ، پاسخهایی که با هیچکدام مطابقت ندارند
درخواست. مثال: -z mgcp,rtd.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
اگر اختیاری است فیلتر ارائه شده است، آمار فقط بر روی آن ها محاسبه می شود
فراخوانی هایی که با آن فیلتر مطابقت دارند. مثال: -z "mgcp,rtd,ip.addr==1.2.3.4" فقط
جمع آوری آمار برای بسته های MGCP رد و بدل شده توسط میزبان در آدرس IP 1.2.3.4.
-z پروتو، colinfo،فیلتر,رشته
همه را اضافه کنید رشته مقادیر بسته به ستون Info خلاصه یک خطی
خروجی از این ویژگی میتوان برای اضافه کردن فیلدهای دلخواه به ستون Info استفاده کرد
علاوه بر محتوای معمولی آن ستون. رشته نام فیلتر نمایشگر است
فیلدی که مقدار آن باید در ستون Info قرار گیرد. فیلتر یک فیلتر است
رشته ای که مقدار فیلد را برای کدام بسته ها کنترل می کند
ستون اطلاعات رشته فقط در ستون Info برای بسته ها ارائه می شود
که مطابقت دارد فیلتر.
توجه: به منظور تی شارک تا بتوانیم آن را استخراج کنیم رشته مقدار از بسته،
رشته باید بخشی از فیلتر رشته اگر نه، تی شارک قادر نخواهد بود که
ارزش آن را استخراج کنید
یک مثال ساده برای اضافه کردن فیلد "nfs.fh.hash" به ستون اطلاعات برای همه
از بسته های حاوی فیلد "nfs.fh.hash" استفاده کنید
-z proto,colinfo,nfs.fh.hash,nfs.fh.hash
برای قرار دادن "nfs.fh.hash" در ستون Info اما فقط برای بسته هایی که از میزبان می آیند
1.2.3.4 استفاده کنید:
-z "proto,colinfo,nfs.fh.hash && ip.src==1.2.3.4,nfs.fh.hash"
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
-z rlc-lte،stat[، فیلتر]
این گزینه یک شمارنده برای پیام های LTE RLC فعال می کند. دریافت خواهید کرد
اطلاعاتی در مورد پیام های رایج و شمارنده های مختلف برای هر UE که در آن ظاهر می شود
ورود به سیستم
مثال: -z rlc-lte,stat.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
اگر اختیاری است فیلتر ارائه شده است، آمار فقط برای آنها محاسبه می شود
فریم هایی که با آن فیلتر مطابقت دارند. مثال: -z "rlc-lte,stat,rlc-lte.ueid3000"> خواهد شد
فقط برای UE هایی با UEId بیش از 3000 آمار جمع آوری کنید.
-z rpc، برنامه ها
دادههای SRT تماس/پاسخ را برای همه برنامهها/نسخههای ONC-RPC جمعآوری کنید. داده ها
جمع آوری شده تعداد تماس ها برای هر پروتکل/نسخه، MinSRT، MaxSRT و AvgSRT است.
این گزینه فقط یک بار در خط فرمان قابل استفاده است.
-z rpc، srt،برنامه,نسخه[,فیلتر]
جمع آوری داده های تماس/پاسخ SRT (زمان پاسخگویی سرویس) برای برنامه/نسخه. داده ها
تعداد تماس های جمع آوری شده برای هر روش MinSRT، MaxSRT، AvgSRT و
کل زمان صرف شده برای هر روش
مثال: -z rpc,srt,100003,3 داده ها را برای NFS نسخه 3 جمع آوری می کند.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
اگر اختیاری است فیلتر ارائه شده است، آمار فقط بر روی آن ها محاسبه می شود
فراخوانی هایی که با آن فیلتر مطابقت دارند.
مثال: -z rpc,srt,100003,3,nfs.fh.hash==0x12345678 NFS v3 SRT را جمع آوری خواهد کرد
آمار برای یک فایل خاص
-z rtp، جریان ها
جمع آوری آمار برای تمام جریان های RTP و محاسبه حداکثر. دلتا، حداکثر و معنی
جیتر و درصد از دست دادن بسته.
-z scsi، srt،cmdset[,فیلتر]
داده های SRT (زمان پاسخگویی سرویس) تماس/پاسخ را برای مجموعه دستورات SCSI جمع آوری کنید cmdset.
مجموعه دستورات 0:SBC 1:SSC 5:MMC هستند
داده های جمع آوری شده تعداد تماس ها برای هر روش، MinSRT، MaxSRT و
AvgSRT.
مثال: -z scsi,srt,0 داده ها را برای دستورات بلوک SCSI (SBC) جمع آوری می کند.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
اگر اختیاری است فیلتر ارائه شده است، آمار فقط بر روی آن ها محاسبه می شود
فراخوانی هایی که با آن فیلتر مطابقت دارند.
مثال: -z scsi,srt,0,ip.addr==1.2.3.4 آمار SCSI SBC SRT را برای a جمع آوری می کند
میزبان خاص iscsi/ifcp/fcip.
-z جرعه، آمار[، فیلتر]
این گزینه یک شمارنده برای پیام های SIP فعال می کند. شما تعداد را دریافت خواهید کرد
وقوع هر روش SIP و هر کد وضعیت SIP. علاوه بر این شما نیز
تعداد پیامهای ارسال مجدد SIP را دریافت کنید (فقط برای SIP از طریق UDP).
مثال: -z جرعه جرعه، آمار.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
اگر اختیاری است فیلتر ارائه شده است، آمار فقط بر روی آن ها محاسبه می شود
فراخوانی هایی که با آن فیلتر مطابقت دارند. مثال: -z "sip,stat,ip.addr==1.2.3.4" فقط
جمع آوری آمار برای بسته های SIP که توسط میزبان در آدرس IP 1.2.3.4 رد و بدل می شود.
-z smb,sides
زمانی که از این ویژگی استفاده می شود تی شارک یک گزارش با تمام SID کشف شده چاپ می کند
و نگاشت نام حساب. فقط آن دسته از SIDهایی که نام حساب در آنها مشخص است، این کار را انجام خواهند داد
در جدول ارائه شود.
برای اینکه این ویژگی کار کند، باید یکی از آنها را فعال کنید
"Edit/Preferences/Protocols/SMB/Snoop SID to name mappings" در تنظیمات برگزیده یا
می توانید با تعیین تنظیمات برگزیده را لغو کنید -o "smb.sid_name_snooping:TRUE" on
la تی شارک خط فرمان.
روش فعلی مورد استفاده توسط تی شارک برای پیدا کردن SID-> نام نگاشت نسبتا است
با امید به گسترش آینده محدود شده است.
-z smb,srt[,فیلتر]
داده های SRT (زمان پاسخگویی سرویس) تماس/پاسخ را برای SMB جمع آوری کنید. داده های جمع آوری شده است
تعداد تماس ها برای هر دستور SMB، MinSRT، MaxSRT و AvgSRT.
مثال: -z smb,srt
داده ها به صورت جداول جداگانه برای همه دستورات معمولی SMB ارائه می شوند
دستورات Transaction2 و همه دستورات NT Transaction. فقط اون دستور میده که
در عکس مشاهده می شود، آمار آن نمایش داده می شود. فقط اولین دستور در
یک زنجیره فرمان xAndX در محاسبه استفاده خواهد شد. بنابراین برای مشترک
زنجیره های SessionSetupAndX + TreeConnectAndX، فقط تماس SessionSetupAndX خواهد بود
در آمار استفاده می شود. این نقصی است که ممکن است در آینده برطرف شود.
این گزینه را می توان چندین بار در خط فرمان استفاده کرد.
اگر اختیاری است فیلتر ارائه شده است، آمار فقط بر روی آن ها محاسبه می شود
فراخوانی هایی که با آن فیلتر مطابقت دارند.
مثال: -z "smb,srt,ip.addr==1.2.3.4" فقط برای بسته های SMB آمار جمع آوری می کند
توسط میزبان در آدرس IP 1.2.3.4 مبادله شده است.
--گرفتن-نظر
یک نظر ضبط به فایل خروجی اضافه کنید.
این گزینه تنها در صورتی در دسترس است که یک فایل خروجی جدید با فرمت pcapng ایجاد شود.
در هر فایل خروجی فقط یک نظر عکسبرداری ممکن است تنظیم شود.
- غیرفعال کردن پروتکل
کالبد شکافی proto_name را غیرفعال کنید.
--فعال-اکتشافی
تشریح پروتکل اکتشافی را فعال کنید.
--غیرفعال کردن-اکتشافی
کالبد شکافی پروتکل اکتشافی را غیرفعال کنید.
گرفتن FILTER نحو
صفحه کتابچه راهنمای کاربر را ببینید pcap-filter(7) یا، اگر وجود نداشته باشد، tcpdump(8)، یا، اگر آن
وجود ندارد، .
خواندن FILTER نحو
برای یک جدول کامل از فیلدهای پروتکل و پروتکل که قابل فیلتر هستند تی شارک ببینید
wireshark-filter(4) صفحه دستی.
از tshark آنلاین با استفاده از خدمات onworks.net استفاده کنید
