欢迎,来自IP地址为:18.116.8.110 的朋友
WireShark
是一款免费开源包分析工具,被广泛应用于网络故障排查、数据分析、软件及通信协议开发以及教育教学领域。
以下的WireShark命令备忘录将有助于更好的使用它来进行网络分析。
抓取接口
-i <interface>:网络接口的名称或索引(默认使用第一个非环回接口)
-f <capture filter>:符合libpcap筛选语法的包筛选器
-s <snaplen>:包快照长度(默认为65535字节)
-p:采用非混杂模式抓取数据包
-k:启动后立即抓取数据包(默认不做任何操作)
-Q:抓取完成后退出wireshark
-S:自动更新包显示页面
-I:当使用-S命令时自动启用滚动条
-B <buffer size>:内核缓存大小(默认为1MB)
-y <link type>:数据链路层类型(默认使用最先适配)
-D:显示所有接口类型并退出
-L:显示所有接口的数据链路类型并退出
-list-time-stamp-types:显示所有接口的时间戳类型并退出
停止抓取条件
-c <package count>:在抓取n个包后停止(默认为不限制)
-a <autostop cond.> … duration:NUM:在抓取NUM秒后停止
filesize:NUM:在文件达到NUM KB后停止
files:NUM:生成NUM个文件后停止
抓取输出
-b <ringbuffer opt.> … duration:NUM:在NUM秒后切换到下一文件
filesize:NUM:在输出文件达到NUM KB后切换到下一文件
files:NUM – ringbuffer:在生成NUM个文件后替换原文件
RPCAP选项
-A <user>:<password>:使用RPCAP认证
输入文件
-r <infile>:设置读取的文件(不能使用管道和标准输入)
处理
-R <read filter>:读取包筛选器
-n:禁止所有名称解析(默认全部允许)
-N <name resolve flags>:允许特定的名称解析
-d <layer_type>==<selector>,<decode_as_protocol>:类型==选择器
例如:tcp.port==8888,http
-disable-protocol <proto_name>:不解析的协议包
-enable-heuristic <short_name>:允许使用启发式协议解析
-disable-heuristic <short_name>:禁止使用启发式协议解析
用户界面
-C <config profile>:使用特定的配置文件启动
-Y <display filter>:使用给定的筛选器启动
-g <packet number>:使用-r命令后转到特定的包
-J <jump filter>:跳转到第一个匹配筛选的包
-j :在使用-J命令后后台筛选
-m <font>:指定文件字体
-t :指定输出日期格式,选项包括a|ad|d|dd|e|r|u|ud
-s :指定输出时间格式,选项包括s|hms
-X <key>:<value>:扩展命令
-z <zstatics>:显示统计信息
输出
-w <outfile|->:指定输出文件或标准输出(”-“)
其他
-h :显示帮助信息并退出
-v :显示版本信息并退出
-P <key:path> persconf:path:个人配置文件
-o <name>:<value>:覆盖首选项或最近的设置
-K <keytab>:用于kerberos解密的keytab文件
适用于所有筛选器的逻辑操作符
例如:http & ip.src == 192.168.0.1
管理帧:网络设备和客户端之间连接的帧
控制帧:控制网络设备和客户端之间数据通信的完整性
数据帧:传输原始数据的帧
只显示管理帧的流出数据包
wlan.fc.type==0
显示控制帧的双向数据包
wlan.fc.type==1
显示数据帧的数据包信息
wlan.fc.type==2
关联请求信息
wlan.fc.type_subtype==0
关联响应信息
wlan.fc.type_subtype==1
探测请求信息
wlan.fc.type_subtype==4
显示探测请求的响应
wlan.fc.type_subtype==5
列出信标信息/波
wlan.fc.type_subtype==8
显示认证请求
wlan.fc.type_subtype==11
显示去认证请求
wlan.fc.type_subtype==12
显示xx端口的出包信息
tcp.port== xx
显示源端口为xx的包信息
tcp.srcport==xx
显示目标端口为xx的包信息
tcp.dstport==xx
显示UDP协议xx端口的出包信息
udp.port==xx
显示源端口为xx的UDP包信息
udp.srcport==xx
显示目标端口为xx的UPD包信息
udp.dstport==xx
显示所有HTTP请求
http.request
显示源地址或目标地址使用特定MAC-Address的包信息
wlan.addr == MAC-Address
显示源地址使用特定MAC-Address的包信息
wlan.sa == MAC-Address
显示目标地址使用特定MAC-Address的包信息
wlan.da == MAC-Address
