Это команда tshark, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
tshark - Дамп и анализ сетевого трафика
СИНТАКСИС
tshark [ -2 ] [ -a ] ...
[ -b ] ... [ -B ]
[ -c ] [ -C ]
[ -d == , ] [ -D ] [ -e ]
[ -E ] [ -f ] [ -F ] [ -g ] [ -h ]
[ -H ] [ -i | -] [ -I ] [ -K ] [ -l ]
[ -L ] [ -n ] [ -N ] [ -o ] ...
[ -O ] [ -p ] [ -P ] [ -q ] [ -Q ] [ -r ] [ -R ]
[ -s ] [ -S ] [ -t a | ad | adoy | d | dd | e | r | u | ud | udoy]
[ -T поля | pdml | ps | psml | текст] [ -u ] [ -v ] [ -V ] [ -w | -]
[ -W ] [ -x ] [ -X ] [ -y ]
[ -Y ] [ -z ] [ --capture-комментарий ]
[ ]
tshark -G [ ]
ОПИСАНИЕ
ТШарк анализатор сетевых протоколов. Это позволяет вам захватывать пакетные данные из живого
сети, либо читать пакеты из ранее сохраненного файла захвата, либо распечатывать декодированный
форма этих пакетов на стандартный вывод или запись пакетов в файл. ТШарк's
собственный формат файла захвата ПКАП формат, который также используется ТСРйитр и
различные другие инструменты.
Без каких-либо опций ТШарк будет работать так же, как ТСРйитр. Он будет использовать библиотеку pcap
для захвата трафика из первого доступного сетевого интерфейса и отображения итоговой строки
на стандартный вывод для каждого полученного пакета.
ТШарк может обнаруживать, читать и записывать те же файлы захвата, которые поддерживаются
Wireshark. Входному файлу не требуется конкретное расширение имени файла; формат файла и
дополнительное сжатие gzip будет автоматически обнаружено. Ближе к началу
ОПИСАНИЕ раздела Wireshark(1) или
подробное описание
путь Wireshark обрабатывает это таким же образом Тшарк справляется с этим.
Поддержка сжатых файлов использует (и поэтому требует) библиотеку zlib. Если zlib
библиотеки нет, ТШарк будет компилироваться, но не сможет читать сжатые файлы.
Если же линия индикатора -w опция не указана, ТШарк записывает на стандартный вывод текст
декодированная форма пакетов, которые он захватывает или читает. Если -w опция указана, ТШарк
записывает в файл, указанный этой опцией, необработанные данные пакетов вместе с
метки времени пакетов.
При записи декодированной формы пакетов, ТШарк по умолчанию записывает итоговую строку
содержащие поля, указанные в файле настроек (которые также являются полями
отображается на панели списка пакетов в Wireshark), хотя если он пишет пакеты как он
захватывает их, а не записывает пакеты из сохраненного файла захвата, он не будет отображать
поле «номер кадра». Если -V указана опция, вместо нее записывается вид
детали пакета, показывая все поля всех протоколов в пакете. Если -O
задана опция, она покажет только полные указанные протоколы. Используйте вывод
"tshark -G протоколы"чтобы найти сокращения протоколов, которые вы можете указать.
Если вы хотите записать декодированную форму пакетов в файл, запустите ТШарк без -w
вариант и перенаправить его стандартный вывод в файл (выполните использовать -w опция).
При записи пакетов в файл, ТШаркпо умолчанию записывает файл в ПКАП формат и
записывает все пакеты в выходной файл. В -F вариант может быть использован для
укажите формат, в котором следует записать файл. Этот список доступных форматов файлов
отображается -F флаг без значения. Однако вы не можете указать формат файла для
живой захват.
Читать фильтры в ТШарк, которые позволяют выбрать пакеты для декодирования или
записанные в файл, очень мощные; больше полей можно отфильтровать в ТШарк чем в других
анализаторы протоколов, а синтаксис, который вы можете использовать для создания фильтров, богаче. В качестве
ТШарк прогрессирует, ожидайте, что все больше и больше полей протокола будет разрешено в фильтрах чтения.
Захват пакетов выполняется с помощью библиотеки pcap. Синтаксис фильтра захвата следует
правила библиотеки pcap. Этот синтаксис отличается от синтаксиса фильтра чтения. А
фильтр чтения также можно указать при захвате, и только пакеты, прошедшие чтение
фильтр будет отображаться или сохраняться в выходной файл; обратите внимание, однако, что фильтры захвата
намного более эффективны, чем фильтры чтения, и ТШарк держать
с загруженной сетью, если для записи в реальном времени указан фильтр чтения.
Фильтр захвата или чтения можно указать с помощью -f or -R вариант соответственно
в этом случае все выражение фильтра должно быть указано как один аргумент (который
означает, что если он содержит пробелы, он должен быть заключен в кавычки) или может быть указан с помощью команды-
строковые аргументы после аргументов опции, и в этом случае все аргументы после
аргументы фильтра обрабатываются как выражение фильтра. Поддерживаются только фильтры захвата
при съемке вживую; фильтры чтения поддерживаются при захвате в реальном времени и когда
читает файл захвата, но требует, чтобы TShark выполнял больше работы при фильтрации, поэтому вы можете
вероятность потери пакетов при большой нагрузке выше, если вы используете фильтр чтения. Если фильтр
указывается с аргументами командной строки после аргументов параметра, это фильтр захвата
если выполняется захват (т. е. если нет -r была указана опция) и фильтр чтения, если
файл захвата читается (т. е. если -r вариант был указан).
" -G option - это специальный режим, который просто вызывает Тшарк сбросить один из нескольких типов
внутренние глоссарии, а затем выйдите.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-2 Выполните двухпроходный анализ. Это заставляет tshark буферизовать вывод до тех пор, пока весь
первый проход выполнен, но позволяет заполнить поля, требующие будущих знаний,
такие как поля «ответ во фрейме №». Также позволяет изменять зависимости фреймов при повторной сборке.
рассчитано правильно.
-а
Укажите критерий, определяющий, когда ТШарк - прекратить запись в файл захвата.
Критерий имеет вид тестXNUMX:ценностное , Где тестXNUMX один из:
продолжительность:ценностное Прекратить запись в файл захвата после ценностное прошло секунды.
размер файла:ценностное Прекратить запись в файл захвата после того, как он достигнет размера ценностное кБ. Если
эта опция используется вместе с опцией -b, ТШарк перестанет писать в
текущий файл захвата и переключитесь на следующий, если размер файла будет достигнут. При чтении
файл захвата, ТШарк перестанет читать файл после количества прочитанных байтов
превышает это число (будет прочитан весь пакет, поэтому больше байтов, чем это число
можно прочитать). Обратите внимание, что размер файла ограничен 2 ГиБ.
файлов:ценностное Прекратить запись в файлы захвата после ценностное количество файлов было записано.
-b
Вызывать ТШарк для работы в режиме "нескольких файлов". В режиме "несколько файлов" ТШарк предусматривает
записать в несколько файлов захвата. Когда заполняется первый файл захвата, ТШарк предусматривает
переключить запись в следующий файл и так далее.
Созданные имена файлов основаны на имени файла, указанном с -w вариант, номер
файла и дату и время создания, например, outfile_00001_20050604120117.pcap,
Outfile_00002_20050604120523.pcap, ...
Для файлов вариант также возможно формирование «кольцевого буфера». Это заполнит
новые файлы до указанного количества файлов, после чего ТШарк отбросит
данные в первом файле и начать запись в этот файл и так далее. Если файлов вариант
не установлен, новые файлы заполняются до тех пор, пока не будет выполнено одно из условий остановки захвата (или
пока диск не заполнится).
Критерий имеет вид ключ:ценностное , Где ключ один из:
продолжительность:ценностное перейти к следующему файлу после ценностное секунд прошло, даже если
текущий файл заполнен не полностью.
размер файла:ценностное переключиться на следующий файл после того, как он достигнет размера ценностное кБ. Обратите внимание, что
размер файла ограничен 2 ГиБ.
файлов:ценностное начать снова с первого файла после ценностное количество файлов было записано
(образуют кольцевой буфер). Это значение должно быть меньше 100000. Следует проявлять осторожность.
при использовании большого количества файлов: некоторые файловые системы не обрабатывают много файлов в
единый каталог хорошо. В файлов критерий требует либо продолжительность or размер файла быть
указывается, чтобы контролировать, когда перейти к следующему файлу. Следует отметить, что каждый -b
параметр принимает ровно один критерий; чтобы указать два критерия, каждому нужно предшествовать
не провела обыск -b опцию.
Пример: -b размер файла: 1000 -b файлов: 5 приводит к кольцевому буферу из пяти файлов размером
по одному мегабайту каждый.
-B
Установите размер буфера захвата (в MiB, по умолчанию 2 MiB). Это используется при захвате
драйвер для буферизации пакетных данных до тех пор, пока эти данные не будут записаны на диск. Если вы столкнетесь
пакеты отбрасываются при захвате, попробуйте увеличить этот размер. Обратите внимание, что пока Тшарк
пытается установить размер буфера равным 2 МиБ по умолчанию, и может быть сказано установить его равным
большее значение, система или интерфейс, на котором вы захватываете, могут молчаливо ограничивать
уменьшите размер буфера захвата или увеличьте его.
Это доступно в системах UNIX с libpcap 1.0.0 или новее, а также в Windows. это
недоступно в системах UNIX с более ранними версиями libpcap.
Этот вариант может повторяться несколько раз. Если используется до первого появления -i
параметр, он устанавливает размер буфера захвата по умолчанию. Если используется после -i вариант, он устанавливает
размер буфера захвата для интерфейса, указанного последним -i возможный вариант
перед этим вариантом. Если размер буфера захвата специально не установлен, по умолчанию
Вместо этого используется размер буфера захвата.
-c
Установите максимальное количество пакетов для чтения при захвате данных в реальном времени. Если читать
файл захвата, установите максимальное количество пакетов для чтения.
-C
Запустите с заданным профилем конфигурации.
-d == ,
Как у Wireshark раскодировать Как ... функция, это позволяет вам указать, как тип слоя должен
быть рассеченным. Если рассматриваемый тип слоя (например, tcp.порт or udp.порт для
Номер порта TCP или UDP) имеет указанное значение селектора, пакеты должны быть проанализированы
как указанный протокол.
Пример: -d tcp.port == 8888, http декодирует любой трафик, проходящий через TCP-порт 8888, как
http.
Пример: -d tcp.port == 8888: 3, http будет декодировать любой трафик, проходящий через TCP-порты 8888,
8889 или 8890 как HTTP.
Пример: -d tcp.port == 8888-8890, http декодирует любой трафик, проходящий через TCP-порты
8888, 8889 или 8890 как HTTP.
Использование недопустимого селектора или протокола распечатает список допустимых селекторов и
имена протоколов соответственно.
Пример: -d . это быстрый способ получить список допустимых селекторов.
Пример: -d ethertype == 0x0800. это быстрый способ получить список протоколов, которые могут быть
выбран с помощью ethertype.
-D Распечатать список интерфейсов, на которых ТШарк можно захватить и выйти. Для каждого
сетевой интерфейс, номер и имя интерфейса, возможно, за которым следует текст
описание интерфейса, распечатано. Имя интерфейса или номер могут быть
поставляется в -i возможность указать интерфейс для захвата.
Это может быть полезно в системах, в которых нет команды для их вывода (например, Windows
системы или системы UNIX, в которых отсутствуют Ifconfig -a); номер может быть полезен в Windows
Системы 2000 и более поздних версий, где имя интерфейса представляет собой несколько сложную строку.
Обратите внимание, что "может захватывать" означает, что ТШарк смог открыть это устройство, чтобы сыграть вживую
захватывать. В зависимости от вашей системы вам может потребоваться запустить tshark из учетной записи с
специальные привилегии (например, как root), чтобы иметь возможность захватывать сетевой трафик. Если
ТШарк -D не запускается из такой учетной записи, он не будет отображать какие-либо интерфейсы.
-e
Добавьте поле в список полей для отображения, если -T поля выбрано. Этот вариант
можно использовать несколько раз в командной строке. Необходимо указать хотя бы одно поле
если -T поля выбран вариант. Имена столбцов могут использоваться с префиксом «_ws.col».
Пример: -e кадр.номер -e ip.адрес -e UDP -e _ws.col.Информация
Если указать протокол, а не одно поле, будет напечатано несколько элементов данных о
протокол как единое поле. По умолчанию поля разделены символами табуляции.
-E управляет форматом печатаемых полей.
-E
Установите параметр, управляющий печатью полей, когда -T поля .
Возможные варианты:
заголовок = y | n If y, распечатайте список имен полей, заданных с помощью -e как первая строка
выход; имя поля будет разделено тем же символом, что и поле
ценности. По умолчанию n.
разделитель = / t | / s |Установите символ-разделитель для использования в полях. Если /t таб
будет использоваться (это значение по умолчанию), если /s, будет использовано одно пространство. В противном случае любой
может использоваться символ, который может быть принят командной строкой как часть параметра.
вхождение = f | l | a Выберите вхождение, которое следует использовать для полей с несколькими
происшествий. Если f будет использовано первое вхождение, если l последний случай будет
используется и если a будут использоваться все вхождения (по умолчанию).
агрегатор =, | / с |Установите символ агрегатора, который будет использоваться для полей, в которых есть
несколько случаев. Если , будет использоваться запятая (по умолчанию), если /s, чтобы
будет использоваться единое пространство. В противном случае любой символ, который может быть принят
может использоваться командная строка как часть параметра.
цитата = d | s | n Установите символ кавычки, который будет использоваться для окружения полей. d использует двойные кавычки,
s одинарные кавычки, n без кавычек (по умолчанию).
-f
Задайте выражение фильтра захвата.
Этот вариант может повторяться несколько раз. Если используется до первого появления -i
параметр, он устанавливает выражение фильтра захвата по умолчанию. Если используется после -i вариант, это
устанавливает выражение фильтра захвата для интерфейса, указанного последним -i вариант
происходящее перед этой опцией. Если выражение фильтра захвата не задано
в частности, используется выражение фильтра захвата по умолчанию, если оно предоставлено.
-F
Установите формат выходного файла захвата, записанного с помощью -w вариант.
вывод, написанный с -w опция - это необработанные пакетные данные, а не текст, поэтому нет -F
возможность запросить вывод текста. Опция -F без значения будут перечислены доступные
форматов.
-g Эта опция вызывает создание выходного файла (ов) с разрешением на групповое чтение.
(это означает, что выходной файл (ы) может быть прочитан другими членами вызывающего пользователя
группа).
-ГРАММ [ ]
" -G вариант вызовет Тшарк сбросить один из нескольких типов глоссариев, а затем
выход. Если не указан конкретный тип глоссария, то поля отчет будет
генерируется по умолчанию.
Доступные типы отчетов включают:
форматы столбцов Сбрасывает форматы столбцов, понятные tshark. Есть одна запись на
линия. Поля разделены табуляцией.
* Поле 1 = строка формата (например, "% rD")
* Поле 2 = текстовое описание строки формата (например, «Порт назначения (разрешен)»)
текущие настройки Сохраняет копию текущего файла настроек в стандартный вывод.
декодирует Сбрасывает ассоциации "тип слоя" / "декодировать как" в стандартный вывод. Существует один
запись в строке. Поля разделены табуляцией.
* Поле 1 = тип слоя, например, "tcp.port"
* Поле 2 = селектор в десятичном формате
* Поле 3 = "расшифровать как" имя, например, "http"
настройки по умолчанию Сохраняет файл настроек по умолчанию в стандартный вывод.
диссекторные столы Выгружает список таблиц диссектора в стандартный вывод. Есть одна запись на
линия. Поля разделены табуляцией.
* Поле 1 = имя таблицы диссектора, например "tcp.port"
* Поле 2 = имя, используемое для таблицы диссектора в графическом интерфейсе пользователя.
* Поле 3 = тип (текстовое представление типа ftenum)
* Поле 4 = база для отображения (для целочисленных типов)
полеколичество Выгружает количество полей заголовка в стандартный вывод.
поля Выгружает содержимое регистрационной базы данных на стандартный вывод. Независимый
программа может взять этот вывод и отформатировать его в красивые таблицы или HTML или что-то еще.
В каждой строке по одной записи. Каждая запись представляет собой либо протокол, либо поле заголовка,
дифференцируется по первому полю. Поля разделены табуляцией.
* Протоколы
* ---------
* Поле 1 = 'P'
* Поле 2 = описательное имя протокола
* Поле 3 = аббревиатура протокола.
*
* Поля заголовка
* -------------
* Поле 1 = 'F'
* Поле 2 = описательное имя поля
* Поле 3 = аббревиатура поля
* Поле 4 = тип (текстовое представление типа ftenum)
* Поле 5 = аббревиатура родительского протокола.
* Поле 6 = база для отображения (для целочисленных типов); "ширина родительского битового поля" для FT_BOOLEAN
* Поле 7 = битовая маска: формат: шестнадцатеричный: 0x ....
* Поле 8 = рекламное объявление с описанием поля
f-типы Сбрасывает "ftypes" (основные типы), понимаемые tshark. Существует один
запись в строке. Поля разделены табуляцией.
* Поле 1 = FTYPE (например, "FT_IPv6")
* Поле 2 = текстовое описание типа (например, «IPv6-адрес»)
эвристическое декодирование Сбрасывает установленные эвристические расшифровки. Существует один
запись в строке. Поля разделены табуляцией.
* Поле 1 = базовый диссектор (например, "tcp")
* Поле 2 = имя эвристического декодера (например, ucp ")
* Поле 3 = эвристика включена (например, "T" или "F")
плагины Сбрасывает установленные плагины. В каждой строке по одной записи. В
поля разделены табуляцией.
* Поле 1 = библиотека плагина (например, "gryphon.so")
* Поле 2 = версия плагина (например, 0.0.4)
* Поле 3 = тип плагина (например, «диссектор» или «тап»)
* Поле 4 = полный путь к файлу плагина
протоколы Выгружает протоколы из регистрационной базы данных на стандартный вывод. Независимый
программа может взять этот вывод и отформатировать его в красивые таблицы или HTML или что-то еще.
В каждой строке по одной записи. Поля разделены табуляцией.
* Поле 1 = название протокола
* Поле 2 = краткое название протокола
* Поле 3 = имя фильтра протокола
ценности Выводит значения value_strings, range_strings или true / false для полей, которые
есть их. В каждой строке по одной записи. Поля разделены табуляцией. Есть три
типы записей: Строка значения, Строка диапазона и Строка Истина / Ложь. Первое поле,
«V», «R» или «T» указывает тип записи.
* Строки значений
* -------------
* Поле 1 = 'V'
* Поле 2 = аббревиатура поля, которому соответствует данная строка значения
* Поле 3 = Целочисленное значение
* Поле 4 = Строка
*
* Строки диапазона
* -------------
* Поле 1 = 'R'
* Поле 2 = аббревиатура поля, которому соответствует данная строка диапазона
* Поле 3 = Целочисленное значение: нижняя граница
* Поле 4 = Целочисленное значение: верхняя граница
* Поле 5 = Строка
*
* Истинные / ложные строки
* ------------------
* Поле 1 = 'T'
* Поле 2 = аббревиатура поля, которому соответствует данная строка "истина / ложь"
* Поле 3 = Истинная строка
* Поле 4 = ложная строка
-h Распечатать версию, параметры и выходы.
-ЧАС
Прочтите список записей из файла "hosts", который затем будет записан в захват
файл. Подразумевает -W n. Можно вызывать несколько раз.
Формат файла "hosts" задокументирован наhttp://en.wikipedia.org/wiki/Hosts_(файл)>.
-я | -
Задайте имя сетевого интерфейса или канала для использования для захвата пакетов в реальном времени.
Имена сетевых интерфейсов должны соответствовать одному из имен, перечисленных в "tshark -D"(описал
выше); число, как сообщает "tshark -D", также можно использовать. Если вы используете UNIX,
"NetStat -i"Или"Ifconfig -a"может также работать для перечисления имен интерфейсов, но не
все версии UNIX поддерживают -a вариант Ifconfig.
Если интерфейс не указан, ТШарк просматривает список интерфейсов, выбирая
первый интерфейс без петли, если есть какие-либо интерфейсы без петли, и выбор
первый интерфейс обратной петли, если нет интерфейсов без обратной связи. Если нет
интерфейсы вообще, ТШарк сообщает об ошибке и не запускает захват.
Имена каналов должны быть либо именем FIFO (именованного канала), либо `` - '' для чтения данных из
стандартный ввод. Данные, считываемые из каналов, должны быть в стандартном формате pcap.
Этот вариант может повторяться несколько раз. При захвате с нескольких интерфейсов
файл захвата будет сохранен в формате pcap-ng.
Примечание: версия Win32 ТШарк не поддерживает захват с трубок!
-Перевожу интерфейс в "режим монитора"; поддерживается только в IEEE 802.11 Wi-Fi
интерфейсы и поддерживается только в некоторых операционных системах.
Обратите внимание, что в режиме монитора адаптер может отключиться от сети, с которой
он связан, поэтому вы не сможете использовать какие-либо беспроводные сети с этим
адаптер. Это может помешать доступу к файлам на сетевом сервере или разрешению хоста
имена или сетевые адреса, если вы ведете захват в режиме монитора и не подключены
в другую сеть с другим адаптером.
Этот вариант может повторяться несколько раз. Если используется до первого появления -i
опция, он включает режим монитора для всех интерфейсов. Если используется после -i вариант,
он включает режим монитора для интерфейса, указанного последним -i вариант
происходящее перед этой опцией.
-K
Загрузите криптоключи kerberos из указанного файла keytab. Этот вариант можно использовать
несколько раз для загрузки ключей из нескольких файлов.
Пример: -K krb5.keytab
-l Очистить стандартный вывод после того, как будет напечатана информация для каждого пакета. (Это
не, строго говоря, строчная буферизация, если -V было указано; однако это то же самое, что и
строчная буферизация, если -V не указывалось, так как для каждого пакета печатается только одна строка,
и в качестве -l обычно используется при передаче записи в реальном времени программе или сценарию, чтобы
вывод для пакета появляется, как только пакет будет виден и проанализирован, он должен
работают так же хорошо, как и настоящая буферизация строк. Мы делаем это как обходной путь для устранения недостатка
в библиотеке Microsoft Visual C ++ C.)
Это может быть полезно, когда вывод ТШарк в другую программу, так как это означает
что программа, в которую передается вывод, увидит расчлененные данные для пакета
как только ТШарк видит пакет и генерирует этот вывод, а не видит его
только когда стандартный выходной буфер, содержащий эти данные, заполняется.
-L Вывести список типов каналов данных, поддерживаемых интерфейсом, и завершить работу. Сообщенные типы ссылок
может использоваться для -y опцию.
-n Отключить разрешение имен сетевых объектов (таких как имя хоста, имена портов TCP и UDP); в
-N флаг может переопределить этот.
-N
Включите разрешение имен только для определенных типов адресов и номеров портов с помощью
разрешение имен для других типов адресов и номеров портов отключено. Этот флаг
переопределения -n если оба -N и -n присутствуют. Если оба -N и -n флагов нет,
все разрешения имен включены.
Аргумент - это строка, которая может содержать буквы:
C для включения одновременного (асинхронного) поиска DNS
d для включения разрешения из захваченных пакетов DNS
m для включения разрешения MAC-адресов
n для включения разрешения сетевых адресов
N для включения использования внешних преобразователей (например, DNS) для разрешения сетевых адресов
t для включения разрешения номера порта транспортного уровня
-о :
Установите значение предпочтения, переопределив значение по умолчанию и любое значение, считываемое из
файл настроек. Аргументом опции является строка вида предварительное имя:ценностное ,
в котором предварительное имя это имя предпочтения (то же самое имя, которое появится
в файле настроек), и ценностное это значение, которое должно быть установлено.
-O
Как и в случае -V вариант, но причины ТШарк только чтобы показать подробный вид запятой-
разделенный список протоколы указан, а не подробный обзор всех протоколов.
Используйте вывод "tshark -G протоколы"найти сокращения протоколов, которые вы
можно уточнить.
-p не перевести интерфейс в неразборчивый режим. Обратите внимание, что интерфейс может быть в
беспорядочный режим по какой-то другой причине; следовательно, -p не может использоваться для гарантии того, что
только захваченный трафик - это трафик, отправляемый на или с машины, на которой ТШарк
работает, широковещательный трафик и многоадресный трафик на адреса, полученные этим
машина.
Этот вариант может повторяться несколько раз. Если используется до первого появления -i
вариант, ни один интерфейс не будет переведен в неразборчивый режим. Если используется после -i
вариант, интерфейс, указанный последним -i вариант, предшествующий этому параметру
не будет введен в беспорядочный режим.
-P Декодировать и отображать сводку пакетов, даже если записываются необработанные пакетные данные с использованием -w
опцию.
-q При захвате пакетов не отображать непрерывное количество захваченных пакетов, которое
обычно отображается при сохранении захвата в файл; вместо этого просто отобразите в конце
захват, количество захваченных пакетов. В системах, поддерживающих сигнал SIGINFO,
например, различные BSD, вы можете отобразить текущий счетчик, набрав свой
символ "статус" (обычно Control-T, хотя он может быть отключен
default, по крайней мере, для некоторых BSD, поэтому вам придется явно указать его, чтобы использовать его).
При чтении файла захвата или при захвате файла без сохранения не печатать
информация о пакете; это полезно, если вы используете -z возможность подсчета статистики
и не хочу печатать информацию о пакете, только статистику.
-Q При захвате пакетов отображать только истинные ошибки. Это выводит меньше, чем -q
вариант, поэтому имя интерфейса, общее количество пакетов и конец захвата не
отправлено на stderr.
-р
Прочитать пакетные данные из вводить, может быть любым поддерживаемым форматом файла захвата (включая
gzip файлы). Здесь можно использовать именованные каналы или stdin (-), но только с
определенные (несжатые) форматы файлов захвата (в частности: читаемые
без поиска назад).
-Р
Вызвать указанный фильтр (который использует синтаксис фильтров чтения / отображения, а не
фильтр захвата), который будет применяться во время первого прохода анализа. Пакеты не
соответствие фильтру не учитывается для будущих проходов. Имеет смысл только с
несколько проходов, см. -2. Для регулярной фильтрации при однопроходном препарировании см. Вместо этого -Y.
Обратите внимание, что перспективные поля, такие как «ответ во фрейме №», нельзя использовать с
этот фильтр, так как они не будут вычисляться при применении этого фильтра.
-s
Установите длину снимка по умолчанию для использования при захвате данных в реальном времени. Не более чем Snaplen
байты каждого сетевого пакета будут считаны в память или сохранены на диск. Значение 0
задает длину моментального снимка 65535, чтобы захватить весь пакет; это
по умолчанию.
Этот вариант может повторяться несколько раз. Если используется до первого появления -i
параметр, он устанавливает длину снимка по умолчанию. Если используется после -i вариант, он устанавливает
длина снимка для интерфейса, указанного последним -i вариант, имеющийся до
этот вариант. Если длина снимка не задана специально, снимок по умолчанию
длина используется, если она предусмотрена.
-S
Установите разделитель строк, который будет печататься между пакетами.
-ta | ad | adoy | d | dd | e | r | u | ud | udoy
Установите формат метки времени пакета, печатаемой в итоговых строках. Формат может быть
один из:
a absolute: Абсолютное время, как местное время в вашем часовом поясе, является фактическим временем,
пакет был захвачен, дата не отображается
ad абсолютный с датой: абсолютная дата, отображаемая как ГГГГ-ММ-ДД, и время, как местное.
время в вашем часовом поясе, это фактическое время и дата захвата пакета
Адой абсолютный с датой с использованием дня года: абсолютная дата, отображаемая как ГГГГ / ДОЙ,
а время, как местное время в вашем часовом поясе, - это фактическое время и дата, когда пакет был
захваченный
d дельта: дельта-время - это время, прошедшее с момента захвата предыдущего пакета.
dd delta_displayed: время delta_displayed - это время, прошедшее с момента предыдущего отображения.
пакет был захвачен
e эпоха: время в секундах с начала эпохи (1 января 1970 г., 00:00:00).
r относительный: относительное время - это время, прошедшее между первым пакетом и
текущий пакет
u UTC: Абсолютное время в формате UTC - это фактическое время захвата пакета без
дата отображается
ud UTC с датой: абсолютная дата в формате ГГГГ-ММ-ДД, а время в формате UTC - это
фактическое время и дата захвата пакета
удой UTC с датой с использованием дня года: абсолютная дата, отображаемая как YYYY / DOY, и
время в формате UTC - это фактическое время и дата захвата пакета.
Формат по умолчанию - относительный.
-T поля | pdml | ps | psml | текст
Установите формат вывода при просмотре декодированных пакетных данных. Варианты один
о:
поля Значения полей, указанных с помощью -e вариант, в форме, указанной
-E вариант. Например,
-T поля -E разделитель =, -E цитата = d
будет генерировать выходные данные с разделителями-запятыми (CSV), подходящие для импорта в ваш
любимая программа для работы с электронными таблицами.
пдмл Язык разметки деталей пакета, основанный на XML формат для деталей декодированного
пакет. Эта информация эквивалентна деталям пакета, напечатанным с -V
флаг.
ps PostScript для удобочитаемого однострочного описания каждого пакета или
многострочный просмотр деталей каждого из пакетов, в зависимости от того, -V
указан флаг.
псмл Packet Summary Markup Language, основанный на XML формат сводной информации
декодированного пакета. Эта информация эквивалентна информации, отображаемой в
однострочная сводка печатается по умолчанию.
текст Текст удобочитаемого однострочного описания каждого пакета или многострочного
просмотр деталей каждого из пакетов, в зависимости от того, -V флаг был
указано. Это значение по умолчанию.
-u
Задает тип секунд. Допустимые варианты:
s на секунды
HMS на часы, минуты и секунды
-v Распечатать версию и выйти.
-V Причина ТШарк для печати просмотра сведений о пакете.
-w | -
Записать необработанные данные пакета в Outfile или на стандартный вывод, если Outfile является '-'.
ПРИМЕЧАНИЕ: -w предоставляет необработанные пакетные данные, а не текст. Если вы хотите выводить текст, вам необходимо
перенаправить stdout (например, используя '>'), не используйте -w вариант для этого.
-W
Сохраните дополнительную информацию в файле, если формат поддерживает ее. Например,
-F упаковка -W n
сохранит записи разрешения имени хоста вместе с захваченными пакетами.
В будущих версиях Wireshark формат захвата может автоматически изменяться на pcapng as
необходимо.
Аргумент - это строка, которая может содержать следующую букву:
n запись информации о разрешении сетевых адресов (только pcapng)
-x Причина ТШарк для печати шестнадцатеричного и ASCII дампа пакетных данных после печати
сводка и / или подробности, если они также отображаются.
-ИКС
Укажите параметр, который нужно передать ТШарк модуль. Опция eXtension находится в
форма Extension_key:ценностное , Где Extension_key может быть:
lua_script:lua_script_filename говорит ТШарк чтобы загрузить данный скрипт в дополнение к
скрипты Lua по умолчанию.
lua_scriptNum:аргумент говорит ТШарк передать заданный аргумент lua-скрипту
идентифицируется 'num', который является порядковым номером команды 'lua_script'.
Например, если был загружен только один скрипт с '-X lua_script: my.lua', то '-X
lua_script1: foo 'передаст строку' foo 'сценарию' my.lua '. Если два скрипта
были загружены, например '-X lua_script: my.lua' и '-X lua_script: other.lua' в этом
order, то '-X lua_script2: bar' передаст строку 'bar' второму lua
скрипт, а именно other.lua.
read_format:формат файла говорит ТШарк использовать данный формат файла для чтения в файле
(файл, указанный в -r вариант команды). Предоставление нет формат файла аргумент, или
недопустимый, создаст файл доступных форматов файлов для использования.
-у
Установите тип канала передачи данных, который будет использоваться при захвате пакетов. Значения, представленные -L
значения, которые можно использовать.
Этот вариант может повторяться несколько раз. Если используется до первого появления -i
параметр, он устанавливает тип ссылки захвата по умолчанию. Если используется после -i вариант, он устанавливает
тип ссылки захвата для интерфейса, указанного последним -i возможный вариант
перед этим вариантом. Если тип ссылки захвата специально не установлен, по умолчанию
Тип ссылки захвата используется, если он указан.
-Y
Вызвать указанный фильтр (который использует синтаксис фильтров чтения / отображения, а не
фильтр захвата), который должен применяться перед печатью декодированной формы пакетов или
запись пакетов в файл. Пакеты, соответствующие фильтру, печатаются или записываются в
файл; пакеты, от которых зависят совпадающие пакеты (например, фрагменты), не печатаются
но записываются в файл; пакеты, не соответствующие фильтру и не зависящие от него,
выброшены, а не напечатаны или написаны.
Используйте это вместо -R для фильтрации с использованием однопроходного анализа. Если делать двухходовой
анализ (см. -2), то только пакеты, соответствующие фильтру чтения (если он есть), будут
проверено по этому фильтру.
-z
Получите ТШарк собирать различную статистику и отображать результат после
завершение чтения файла захвата. Использовать -q отметьте, если вы читаете файл захвата
и хотите, чтобы выводилась только статистика, а не информация о каждом пакете.
Обратите внимание, что -z прото вариант другой - это не приводит к тому, что статистика
собранные и распечатанные, когда захват завершен, он изменяет обычный пакет
итоговый вывод для включения значений полей, указанных с помощью опции. Следовательно
вы не должны использовать -q вариант, так как этот параметр подавит печать
регулярный вывод сводки пакетов, а также не должен использовать -V вариант, как это было бы
заставляют печатать подробную информацию о пакете, а не сводную информацию о пакете.
В настоящее время реализована статистика:
-z помощь
Показать все возможные значения для -z.
-z afp, srt [,фильтр]
Показать статистику времени отклика службы Apple Filing Protocol.
-z верблюд, srt
-z сравнивать,Начало,остановить,ttl [0 | 1],заказ [0 | 1],дисперсия[,фильтр]
Если необязательный фильтр указан, только те пакеты, которые соответствуют фильтру, будут
использоваться в расчетах.
-z Конв,напишите[,фильтр]
Создайте таблицу, в которой перечислены все разговоры, которые можно было увидеть в записи.
напишите определяет типы конечных точек диалога, для которых мы хотим сгенерировать
статистика; в настоящее время поддерживаются:
Bluetooth-адреса "bluetooth"
Ethernet-адреса "eth"
Адреса "fc" Fibre Channel
Адреса FDDI "fddi"
IP-адреса IPv4
IPv6-адреса "ipv6"
IPX-адреса "ipx"
Адреса сообщений JXTA "jxta"
"ncp" подключения NCP
RSVP-соединения "rsvp"
адреса SCTP "sctp"
Пары сокетов TCP / IP "tcp" Поддерживаются как IPv4, так и IPv6.
Адреса Token Ring "tr"
USB-адреса "usb"
Пары сокетов UDP / IP "udp" Поддерживаются как IPv4, так и IPv6.
"wlan" адреса IEEE 802.11
Если необязательный фильтр указан, только те пакеты, которые соответствуют фильтру, будут
использоваться в расчетах.
Таблица представлена одной строкой для каждого разговора и отображает номер
пакетов / байтов в каждом направлении, а также общее количество пакетов / байтов.
Таблица отсортирована по общему количеству кадров.
-z dcerpc, SRT,UUID,основной.небольшая[,фильтр]
Сбор данных SRT (время ответа службы) для вызова / ответа для интерфейса DCERPC UUID,
версия основной.небольшая. Собранные данные - это количество вызовов для каждой процедуры,
MinSRT, MaxSRT и AvgSRT.
Пример: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0 будет собирать данные
для интерфейса CIFS SAMR.
Этот параметр можно использовать в командной строке несколько раз.
Если необязательный фильтр предоставляется, статистика будет рассчитываться только по тем
вызовы, соответствующие этому фильтру.
Пример: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0,ip.addr==1.2.3.4
будет собирать статистику SAMR SRT для конкретного хоста.
-z bootp, stat [,фильтр]
Показать статистику DHCP (BOOTP).
-z диаметр, avp [,cmd.код,поле,поле,...]
Эта опция позволяет извлекать наиболее важные поля диаметров из больших
файлы захвата. Ровно по одной текстовой строке для каждого сообщения диаметра с совпадающими
диаметр.cmd.code будут напечатаны.
Код команды пустого диаметра или '*' можно указать для обработки любого диаметр.cmd.code
Пример: -z диаметр, avp извлечь набор полей по умолчанию из сообщений диаметра.
Пример: -z диаметр, avp, 280 извлечь набор полей по умолчанию из диаметра DWR
сообщений.
Пример: -z диаметр, avp, 272 извлечь набор полей по умолчанию из сообщений диаметра CC.
Извлеките наиболее важные поля из сообщений диаметра CC:
tshark -r файл.cap.gz -q -z
диаметр, avp, 272, CC-Request-Type, CC-Request-Number, Session-Id, Subscription-Id-Data, Rating-Group, Result-Code
Для каждого сообщения о диаметре будут распечатаны следующие поля:
"кадр" Номер кадра.
"time" Unix-время прибытия кадра.
"src" Исходный адрес.
"srcport" Исходный порт.
"dst" Адрес назначения.
"dstport" Порт назначения.
"proto" Постоянная строка "диаметр", которую можно использовать для постобработки вывода tshark. Например, grep / sed / awk.
"msgnr" seq. номер диаметра сообщения в кадре. Например, «2» для сообщения третьего диаметра в том же кадре.
"is_request" '0', если сообщение является запросом, '1', если сообщение является ответом.
"cmd" Diameter.cmd_code, например, '272' для сообщений контроля кредита.
"req_frame" Номер кадра, в котором был найден согласованный запрос, или «0».
"ans_frame" Номер кадра, в котором был найден совпадающий ответ, или "0".
«resp_time» время ответа в секундах, «0» в случае, если совпадающий запрос / ответ не найден в трассировке. Например, в начале или в конце захвата.
-z диаметр, avp вариант намного быстрее, чем -V -T текст or -T пдмл настройки.
-z диаметр, avp вариант более мощный, чем -T поле и -z proto, colinfo
настройки.
Поддерживаются сообщения с несколькими диаметрами в одном кадре.
Поддерживаются несколько полей с одинаковыми именами в одном сообщении диаметра, например
диаметр. Идентификатор-данные-подписки or диаметр.Rating-Group.
Примечание: tshark -q опция рекомендуется для подавления по умолчанию tshark вывод.
-z dns, tree [,фильтр]
Создайте сводку перехваченных пакетов DNS. Собирается общая информация
такие как распределение qtype и qclass. Для некоторых данных (как длина qname или DNS
полезная нагрузка) также отображаются максимальные, минимальные и средние значения.
-z конечные точки,напишите[,фильтр]
Создайте таблицу, в которой перечислены все конечные точки, которые можно увидеть в записи. напишите
указывает типы конечных точек, для которых мы хотим сгенерировать статистику;
в настоящее время поддерживаются:
Bluetooth-адреса "bluetooth"
Ethernet-адреса "eth"
Адреса "fc" Fibre Channel
Адреса FDDI "fddi"
IP-адреса IPv4
IPv6-адреса "ipv6"
IPX-адреса "ipx"
Адреса сообщений JXTA "jxta"
"ncp" подключения NCP
RSVP-соединения "rsvp"
адреса SCTP "sctp"
Пары сокетов TCP / IP "tcp" Поддерживаются как IPv4, так и IPv6.
Адреса Token Ring "tr"
USB-адреса "usb"
Пары сокетов UDP / IP "udp" Поддерживаются как IPv4, так и IPv6.
"wlan" адреса IEEE 802.11
Если необязательный фильтр указан, только те пакеты, которые соответствуют фильтру, будут
использоваться в расчетах.
Таблица представлена одной строкой для каждого разговора и отображает номер
пакетов / байтов в каждом направлении, а также общее количество пакетов / байтов.
Таблица отсортирована по общему количеству кадров.
-z эксперт [, ошибка |, предупреждение |, примечание |, чат][,фильтр]
Собирает информацию обо всей информации экспертов и отображает их по порядку,
сгруппированы по степени серьезности.
Пример: -z эксперт, глоток покажет экспертные элементы любой степени серьезности для фреймов,
соответствовать протоколу sip.
Этот параметр можно использовать в командной строке несколько раз.
Если необязательный фильтр предоставляется, статистика будет рассчитываться только по тем
вызовы, соответствующие этому фильтру.
Пример: -z "эксперт, примечание, tcp" будет собирать только экспертные предметы для фреймов,
включить протокол tcp с уровнем серьезности note или выше.
-z следовать,Prot,Режим,фильтр[,диапазон]
Отображает содержимое потока TCP или UDP между двумя узлами. Данные, отправленные
второй узел имеет префикс табуляции, чтобы отличать его от данных, отправленных
первый узел.
Prot указывает транспортный протокол. Это может быть одно из:
TCP TCP
UDP UDP
SSL SSL
Режим определяет режим вывода. Это может быть одно из:
вывод ascii ASCII с точками для непечатаемых символов
ebcdic EBCDIC вывод с точками для непечатаемых символов
шестнадцатеричные шестнадцатеричные данные и данные ASCII со смещениями
необработанные шестнадцатеричные данные
Поскольку вывод в ASCII or ebcdic режим может содержать символы новой строки, длина каждого
раздел вывода плюс новая строка перед каждым разделом вывода.
фильтр указывает поток, который будет отображаться. Потоки UDP / TCP выбираются с помощью
либо индекс потока, либо пары IP-адрес плюс порт. SSL-потоки выбраны
с индексом потока. Например:
ip-адрес0: порт0, ip-адрес1: порт1
поток-индекс
ассортимент дополнительно указывает, какие «фрагменты» потока должны отображаться.
Пример: -z "следовать, TCP, шестнадцатеричный, 1" отобразит содержимое первого потока TCP
в "шестнадцатеричном" формате.
================================================== =================
Следуйте: tcp, hex
Фильтр: tcp.stream eq 1
Узел 0: 200.57.7.197:32891
Узел 1: 200.57.7.198:2906
00000000 00 00 00 22 00 00 00 07 00 0a 85 02 07 e9 00 02 ... ".... ........
00000010 07 e9 06 0f 00 0d 00 04 00 00 00 01 00 03 00 06 ........ ........
00000020 1ф 00 06 04 00 00 ......
00000000 00 01 00 00 ....
00000026 00 02 00 00
Пример: -z "следовать, tcp, ascii, 200.57.7.197: 32891,200.57.7.198: 2906" будет отображать
содержимое TCP-потока между 200.57.7.197 портом 32891 и 200.57.7.98 портом
2906.
================================================== =================
Следуйте: tcp, ascii
Фильтр: (опущено для удобства чтения)
Узел 0: 200.57.7.197:32891
Узел 1: 200.57.7.198:2906
38
... ".....
................
4
....
-z h225, счетчик [,фильтр]
Подсчитайте сообщения ITU-T H.225 и их причины. В первом столбце вы получите список
сообщений H.225 и причин сообщения H.225, которые возникают в текущем захвате
файл. Количество появлений каждого сообщения или причины отображается в
второй столбец.
Пример: -z h225, счетчик.
Если необязательный фильтр предоставляется, статистика будет рассчитываться только по тем
вызовы, соответствующие этому фильтру. Пример: используйте -z "h225, counter, ip.addr == 1.2.3.4" в
собирать статистику только для пакетов H.225, которыми обменивается хост с IP-адресом 1.2.3.4.
Этот параметр можно использовать в командной строке несколько раз.
-z h225, srt [,фильтр]
Сбор данных SRT (время отклика службы) запросов / ответов для ITU-T H.225 RAS.
Собранные данные представляют собой количество вызовов каждого типа сообщения ITU-T H.225 RAS, минимум
SRT, максимум SRT, средний SRT, минимум в пакете и максимум в пакете. Вы будете
также получить количество открытых запросов (неотвеченных запросов), отклоненных ответов
(Ответы без соответствующего запроса) и повторяющиеся сообщения.
Пример: -z h225, srt
Этот параметр можно использовать в командной строке несколько раз.
Если необязательный фильтр предоставляется, статистика будет рассчитываться только по тем
вызовы, соответствующие этому фильтру.
Пример: -z "h225, srt, ip.addr == 1.2.3.4" будет собирать статистику только для ITU-T H.225
Пакеты RAS, которыми обменивается хост по IP-адресу 1.2.3.4.
-z хосты [, ipv4] [, ipv6]
Выгрузите все собранные адреса IPv4 и / или IPv6 в формате "hosts". И IPv4, и
По умолчанию IPv6-адреса сбрасываются.
Адреса собираются из ряда источников, включая стандартные файлы "hosts".
и захваченный трафик.
-z hpfeeds, tree [,фильтр]
Вычислить статистику трафика HPFEEDS, такую как публикация на канал и код операции
распределение.
-z http, stat,
Рассчитайте распределение статистики HTTP. Отображаемые значения - это статус HTTP.
коды и методы HTTP-запроса.
-z http, дерево
Рассчитайте распределение пакетов HTTP. Отображаемые значения - это HTTP-запрос
режимы и коды состояния HTTP.
-z http_req, дерево
Рассчитайте HTTP-запросы по серверу. Отображаемые значения - это имя сервера и
путь URI.
-z http_srv, дерево
Рассчитайте HTTP-запросы и ответы по серверу. Для HTTP-запросов
отображаемые значения - это IP-адрес сервера и имя хоста сервера. Для HTTP
ответов, отображаемые значения - это IP-адрес и статус сервера.
-z icmp, srt [,фильтр]
Вычислить общее количество эхо-запросов ICMP, ответов, потерь и процентов потерь, а также
минимальная, максимальная, средняя, медиана и стандартное отклонение выборки Статистика SRT
типично для того, что предоставляет пинг.
Пример: -z icmp, srt, ip.src == 1.2.3.4 будет собирать статистику ICMP SRT для ICMP
пакеты эхо-запроса, исходящие от определенного хоста.
Этот параметр можно использовать в командной строке несколько раз.
-z icmpv6, srt [,фильтр]
Вычислить общее количество эхо-запросов ICMPv6, ответов, потерь и процентов потерь, а также
минимальная, максимальная, средняя, медиана и стандартное отклонение выборки Статистика SRT
типично для того, что предоставляет пинг.
Пример: -z icmpv6, srt, ipv6.src == fe80 :: 1 будет собирать статистику ICMPv6 SRT для
Пакеты эхо-запроса ICMPv6, исходящие от определенного хоста.
Этот параметр можно использовать в командной строке несколько раз.
-z io, phs [,фильтр]
Создайте статистику иерархии протоколов с указанием количества пакетов и байтов. Если
нет фильтр указано, что статистика будет рассчитываться для всех пакетов. Если
фильтр указано, статистика будет рассчитана только для тех пакетов, которые
соответствовать фильтру.
Этот параметр можно использовать в командной строке несколько раз.
-z io, статистика,интервал[,фильтр] [,фильтр] [,фильтр] ...
Собирать статистику пакетов / байтов для захвата с интервалами интервал секунд.
Интервал может быть указана целая или дробная секунда и может быть
указано с микросекундным (американским) разрешением. Если интервал равно 0, статистика будет
рассчитываться по всем пакетам.
Если нет фильтр указано, что статистика будет рассчитываться для всех пакетов. Если
один или больше фильтры указаны статистика будет рассчитываться по всем фильтрам
и представлены по одному столбцу статистики для каждого фильтра.
Этот параметр можно использовать в командной строке несколько раз.
Пример: -z io, stat, 1, ip.addr == 1.2.3.4 будет генерировать статистику за 1 секунду для всех
трафик к / от хоста 1.2.3.4.
Пример: -z "io, stat, 0.001, smb && ip.addr == 1.2.3.4" будет генерировать статистику за 1 мс для
все пакеты SMB к / от хоста 1.2.3.4.
В приведенных выше примерах используется стандартный синтаксис для генерации статистики, которая
вычисляет только количество пакетов и байтов в каждом интервале.
io, stat также может делать гораздо больше статистики и вычислять COUNT (), СУММА (), МИН (),
МАКСИМУМ(), AVG () и НАГРУЗКА() используя немного другой синтаксис фильтра:
-z io, stat,интервал, "[COUNT | SUM | MIN | MAX | AVG | LOAD] (поле)фильтр"
ПРИМЕЧАНИЕ. Здесь следует отметить одну важную вещь: фильтр не является обязательным и
поле, на котором основан расчет, ДОЛЖНО быть частью строки фильтра или
расчет не удастся.
Итак: -z io, stat, 0.010, AVG (smb.time) не работает. Использовать -z
io, stat, 0.010, AVG (smb.time) smb.time вместо. Также имейте в виду, что поле может существовать
несколько раз внутри одного пакета и затем будет подсчитано несколько раз в
эти пакеты.
ПРИМЕЧАНИЕ. Вторая важная вещь, на которую следует обратить внимание, это то, что системная настройка десятичной
разделитель должен быть установлен на "."! Если установлено "," статистика не будет
отображается для каждого фильтра.
СЧИТАТЬ(поле)фильтр - Подсчитывает, сколько раз поле имя (не его
значение) появляется за интервал в списке отфильтрованных пакетов. ''поле'' может быть любым
отображать имя фильтра.
Пример: -z io, stat, 0.010, «COUNT (smb.sid) smb.sid»
Это будет подсчитывать общее количество SID, видимых в каждом интервале 10 мс.
СУММ (поле)фильтр - В отличие от COUNT, ценности указанного поля суммируются по
интервал времени. ''поле'' может быть только целым числом, числом с плавающей запятой, двойным или относительным
поле времени.
Пример: -z io, stat, 0.010, «СУММ (frame.len) frame.len»
Сообщает общее количество байтов, которые были переданы двунаправленно во всех
пакеты с интервалом в 10 миллисекунд.
МИН / МАКС / СРЕД (поле)фильтр - Минимальное, максимальное или среднее значение поля в каждом
интервал рассчитывается. Указанное поле должно быть целым числом с именем float,
двойное или относительное поле времени. Для полей относительного времени вывод представлен
в секундах с шестью десятичными знаками точности с округлением до ближайшего
микросекунда.
В следующем примере время первого вызова Read_AndX, время последнего Read_AndX
отображаются значения ответа, а также минимальный, максимальный и средний ответ чтения
раз (SRT). ПРИМЕЧАНИЕ. Если продолжение строки командной оболочки DOS
используется символ '' ^ '', каждая строка не может заканчиваться запятой, поэтому она помещается в
начало каждой строки продолжения:
tshark -o tcp.desegment_tcp_streams: FALSE -n -q -r smb_reads.cap -z io, stat, 0,
"MIN (frame.time_relative) frame.time_relative и smb.cmd == 0x2e и smb.flags.response == 0",
"MAX (frame.time_relative) frame.time_relative и smb.cmd == 0x2e и smb.flags.response == 1",
"MIN (smb.time) smb.time и smb.cmd == 0x2e",
"МАКС (smb.time) smb.time и smb.cmd == 0x2e",
"AVG (smb.time) smb.time и smb.cmd == 0x2e"
================================================== ================================================== ==
Статистика ввода-вывода
Столбец № 0: MIN (frame.time_relative) frame.time_relative и smb.cmd == 0x2e и smb.flags.response == 0
Столбец №1: MAX (frame.time_relative) frame.time_relative и smb.cmd == 0x2e и smb.flags.response == 1
Столбец 2: MIN (smb.time) smb.time и smb.cmd == 0x2e.
Столбец № 3: MAX (smb.time) smb.time и smb.cmd == 0x2e.
Столбец №4: AVG (smb.time) smb.time и smb.cmd == 0x2e.
| Столбец № 0 | Колонка №1 | Колонка №2 | Колонка № 3 | Колонка №4 |
Время | МИН | МАКС | МИН | МАКС | AVG |
000.000- 0.000000 7.704054 0.000072 0.005539 0.000295
================================================== ================================================== ==
Следующая команда отображает средний размер PDU ответа чтения SMB, общий
количество прочитанных байтов PDU, средний размер PDU запроса записи SMB и общий
количество байтов, переданных в PDU записи SMB:
tshark -n -q -r smb_reads_writes.cap -z io, stat, 0,
"AVG (smb.file.rw.length) smb.file.rw.length и smb.cmd == 0x2e и smb.response_to",
"СУММ (smb.file.rw.length) smb.file.rw.length и smb.cmd == 0x2e и smb.response_to",
"AVG (smb.file.rw.length) smb.file.rw.length и smb.cmd == 0x2f, а не smb.response_to",
"СУММ (smb.file.rw.length) smb.file.rw.length и smb.cmd == 0x2f, а не smb.response_to"
================================================== ===================================
Статистика ввода-вывода
Столбец №0: AVG (smb.file.rw.length) smb.file.rw.length и smb.cmd == 0x2e и smb.response_to
Столбец №1: СУММ (smb.file.rw.length) smb.file.rw.length и smb.cmd == 0x2e и smb.response_to
Столбец №2: AVG (smb.file.rw.length) smb.file.rw.length и smb.cmd == 0x2f, а не smb.response_to
Столбец № 3: СУММ (smb.file.rw.length) smb.file.rw.length и smb.cmd == 0x2f, а не smb.response_to
| Столбец № 0 | Колонка №1 | Колонка №2 | Колонка № 3 |
Время | AVG | СУММА | AVG | СУММА |
000.000-30018 28067522 72 3240
================================================== ===================================
НАГРУЗКА(поле)фильтр - Рассчитывается НАГРУЗКА / Глубина очереди в каждом интервале. В
указанное поле должно быть полем относительного времени, которое представляет время ответа.
Например smb.time. Для каждого интервала Глубина очереди для указанного
протокол рассчитывается.
Следующая команда отображает среднюю НАГРУЗКУ SMB. Значение 1.0 представляет
один ввод-вывод в полете.
tshark -n -q -r smb_reads_writes.cap
-z "io, stat, 0.001, ЗАГРУЗИТЬ (smb.time) smb.time"
================================================== ==========================
Статистика ввода-вывода
Интервал: 0.001000 сек.
Столбец # 0: LOAD (smb.time) smb.time
| Столбец № 0 |
Время | ЗАГРУЗИТЬ |
0000.000000-0000.001000 1.000000
0000.001000-0000.002000 0.741000
0000.002000-0000.003000 0.000000
0000.003000-0000.004000 1.000000
КАДРЫ | БАЙТОВ [()фильтр] - Отображает общее количество кадров или байтов. В
Поле фильтра является необязательным, но если оно включено, то перед ним должен стоять «()».
Следующая команда отображает пять столбцов: общее количество кадров и байтов.
(передается двунаправленно) с использованием одной запятой, те же две статистики с использованием
Подкоманды FRAMES и BYTES, общее количество кадров, содержащих хотя бы один
Ответ SMB на чтение и общее количество байтов, переданных клиенту.
(однонаправленно) по IP-адресу 10.1.0.64.
tshark -o tcp.desegment_tcp_streams: FALSE -n -q -r smb_reads.cap -z io, stat, 0`` КАДРЫ, БАЙТЫ,
"FRAMES () smb.cmd == 0x2e и smb.response_to", "BYTES () ip.dst == 10.1.0.64"
================================================== ================================================== ===================
Статистика ввода-вывода
Столбец №0:
Столбец №1: КАДРЫ.
Столбец № 2: БАЙТЫ.
Столбец № 3: FRAMES () smb.cmd == 0x2e и smb.response_to
Столбец 4: BYTES () ip.dst == 10.1.0.64.
| Столбец № 0 | Колонка №1 | Колонка №2 | Колонка № 3 | Колонка №4 |
Время | Рамки | Байты | РАМЫ | БАЙТОВ | РАМЫ | БАЙТОВ |
000.000- 33576 29721685 33576 29721685 870 29004801
================================================== ================================================== ===================
-z mac-lte, stat [,фильтр]
Эта опция активирует счетчик для сообщений LTE MAC. Ты получишь
информация о максимальном количестве UE / TTI, общих сообщениях и различных
счетчики для каждого UE, которое появляется в журнале.
Пример: -z mac-lte, stat.
Этот параметр можно использовать в командной строке несколько раз.
Если необязательный фильтр предоставляется, статистика будет рассчитана только для тех
кадры, соответствующие этому фильтру. Пример: -z "mac-lte, stat, mac-lte.rnti3000 "> будет
собирать статистику только для UE с назначенным RNTI, значение которого превышает 3000.
-z мегако, ртд [,фильтр]
Сбор данных RTD (время отклика) запросов / ответов для MEGACO. (Это
похож на -z smb, srt). Собранные данные - это количество звонков для каждого известного
Тип MEGACO, MinRTD, MaxRTD и AvgRTD. Дополнительно вы получаете количество
повторяющиеся запросы / ответы, неотвеченные запросы, несоответствующие ответы
с любым запросом. Пример: -z мегако, ртд.
Если необязательный фильтр предоставляется, статистика будет рассчитываться только по тем
вызовы, соответствующие этому фильтру. Пример: -z "megaco, rtd, ip.addr == 1.2.3.4" будет только
собирать статистику по пакетам MEGACO, которыми обменивается хост по IP-адресу 1.2.3.4.
Этот параметр можно использовать в командной строке несколько раз.
-z mgcp, rtd [,фильтр]
Сбор данных RTD (время отклика) запросов / ответов для MGCP. (Это
похож на -z smb, srt). Собранные данные - это количество вызовов для каждого известного протокола MGCP.
Тип, MinRTD, MaxRTD и AvgRTD. Дополнительно вы получаете количество дубликатов
запросы / ответы, неотвеченные запросы, ответы, не совпадающие ни с одним
запрос. Пример: -z mgcp, rtd.
Этот параметр можно использовать в командной строке несколько раз.
Если необязательный фильтр предоставляется, статистика будет рассчитываться только по тем
вызовы, соответствующие этому фильтру. Пример: -z "mgcp, rtd, ip.addr == 1.2.3.4" будет только
собирать статистику для пакетов MGCP, которыми обменивается хост по IP-адресу 1.2.3.4.
-z прото, colinfo,фильтр,поле
Добавить все поле значения для пакета в столбец Информация однострочной сводки
выход. Эта функция может использоваться для добавления произвольных полей в столбец информации в
дополнение к обычному содержанию этого столбца. поле имя отображаемого фильтра
поля, значение которого должно быть помещено в столбец «Информация». фильтр это фильтр
строка, определяющая, для каких пакетов значение поля будет представлено в
информационный столбец. поле будет отображаться только в столбце Информация для пакетов
который соответствует фильтр.
ПРИМЕЧАНИЕ. Для того, чтобы ТШарк чтобы иметь возможность извлечь поле значение из пакета,
поле ДОЛЖЕН быть частью фильтр нить. Если не, ТШарк не быть способным сделать
извлеките его значение.
Простой пример добавления поля «nfs.fh.hash» в столбец «Информация» для всех
пакеты, содержащие поле "nfs.fh.hash", используйте
-z proto, colinfo, nfs.fh.hash, nfs.fh.hash
Чтобы поместить «nfs.fh.hash» в столбец «Информация», но только для пакетов, исходящих от хоста
1.2.3.4 использование:
-z "proto, colinfo, nfs.fh.hash" && ip.src == 1.2.3.4, nfs.fh.hash "
Этот параметр можно использовать в командной строке несколько раз.
-z rlc-lte, stat [,фильтр]
Эта опция активирует счетчик для сообщений LTE RLC. Ты получишь
информация об общих сообщениях и различных счетчиках для каждого UE, которая появляется в
журнал.
Пример: -z rlc-lte, stat.
Этот параметр можно использовать в командной строке несколько раз.
Если необязательный фильтр предоставляется, статистика будет рассчитана только для тех
кадры, соответствующие этому фильтру. Пример: -z "rlc-lte, stat, rlc-lte.ueid3000 "> будет
собирать статистику только для UE с UEId более 3000.
-z rpc, программы
Сбор данных SRT вызовов / ответов для всех известных программ / версий ONC-RPC. Данные
собрано количество вызовов для каждого протокола / версии, MinSRT, MaxSRT и AvgSRT.
Этот параметр можно использовать только один раз в командной строке.
-z rpc, SRT,программа,версия[,фильтр]
Собирать данные SRT (время ответа службы) для вызова / ответа для программа/версия, дата
собрано количество вызовов для каждой процедуры, MinSRT, MaxSRT, AvgSRT и
общее время, затраченное на каждую процедуру.
Пример: -z rpc, srt, 100003,3 будет собирать данные для NFS v3.
Этот параметр можно использовать в командной строке несколько раз.
Если необязательный фильтр предоставляется, статистика будет рассчитываться только по тем
вызовы, соответствующие этому фильтру.
Пример: -z rpc, SRT, 100003,3, nfs.fh.hash == 0x12345678 соберет NFS v3 SRT
статистика для конкретного файла.
-z rtp, потоки
Соберите статистику по всем потокам RTP и рассчитайте макс. дельта, макс. и значит
процентное соотношение джиттера и потери пакетов.
-z scsi, SRT,набор команд[,фильтр]
Сбор данных SRT (время ответа службы) для вызова / ответа для набора команд SCSI набор команд.
Наборы команд: 0: SBC 1: SSC 5: MMC
Собранные данные - это количество вызовов для каждой процедуры, MinSRT, MaxSRT и
Ср.СРТ.
Пример: -z scsi, srt, 0 будет собирать данные для SCSI BLOCK COMMANDS (SBC).
Этот параметр можно использовать в командной строке несколько раз.
Если необязательный фильтр предоставляется, статистика будет рассчитываться только по тем
вызовы, соответствующие этому фильтру.
Пример: -z scsi, srt, 0, ip.addr == 1.2.3.4 будет собирать статистику SCSI SBC SRT для
конкретный хост iscsi / ifcp / fcip.
-z глоток, статистика [,фильтр]
Эта опция активирует счетчик SIP-сообщений. Вы получите количество
появления каждого метода SIP и каждого кода состояния SIP. Кроме того, вы также
получить количество повторно отправленных SIP-сообщений (только для SIP через UDP).
Пример: -z глоток, статистика.
Этот параметр можно использовать в командной строке несколько раз.
Если необязательный фильтр предоставляется, статистика будет рассчитываться только по тем
вызовы, соответствующие этому фильтру. Пример: -z "sip, stat, ip.addr == 1.2.3.4" будет только
собирать статистику по SIP-пакетам, которыми обменивается хост по IP-адресу 1.2.3.4.
-z кого-л., СИД
Когда эта функция используется ТШарк распечатает отчет со всеми обнаруженными SID
и сопоставления имен учетных записей. Только те SID, для которых известно имя учетной записи, будут
быть представлены в таблице.
Чтобы эта функция работала, вам необходимо либо включить
«Edit / Preferences / Protocols / SMB / Snoop SID to name mappings» в настройках или
вы можете переопределить настройки, указав -o "smb.sid_name_snooping: ИСТИНА" on
ТШарк командная строка.
Текущий метод, используемый ТШарк найти сопоставление имен SID-> относительно
ограничен надеждой на будущее расширение.
-z smb, srt [,фильтр]
Соберите данные SRT (время ответа службы) для вызовов / ответов для SMB. Собранные данные
количество вызовов для каждой команды SMB, MinSRT, MaxSRT и AvgSRT.
Пример: -z smb, srt
Данные будут представлены в виде отдельных таблиц для всех обычных команд SMB, все
Команды Transaction2 и все команды транзакций NT. Только те команды, которые
видны в захвате, будет отображаться его статистика. Только первая команда в
В расчетах будет использоваться цепочка команд xAndX. Так что для общего
SessionSetupAndX + TreeConnectAndX, только вызов SessionSetupAndX будет
используется в статистике. Это недостаток, который может быть исправлен в будущем.
Этот параметр можно использовать в командной строке несколько раз.
Если необязательный фильтр предоставляется, статистика будет рассчитываться только по тем
вызовы, соответствующие этому фильтру.
Пример: -z "smb, srt, ip.addr == 1.2.3.4" будет собирать статистику только для пакетов SMB
обменивается хостом по IP-адресу 1.2.3.4.
--capture-comment
Добавьте комментарий захвата к выходному файлу.
Этот параметр доступен только в том случае, если создается новый выходной файл в формате pcapng.
Для выходного файла можно установить только один комментарий захвата.
--disable-протокол
Отключить рассечение proto_name.
- включить эвристический
Включить анализ эвристического протокола.
--disable-эвристический
Отключить анализ эвристического протокола.
ЗАХВАТИТЬ ФИЛЬТР СИНТАКСИС
См. Страницу руководства pcap-фильтр(7) или, если таковой не существует, ТСРйитр(8), или, если это
не существует, .
ЧИТАТЬ ФИЛЬТР СИНТАКСИС
Для получения полной таблицы протокола и полей протокола, которые можно фильтровать в ТШарк см.
Wirehark-фильтр(4) страница руководства.
Используйте tshark онлайн с помощью сервисов onworks.net
