IP Address:3.227.233.6



WireShark

是一款免费开源包分析工具,被广泛应用于网络故障排查、数据分析、软件及通信协议开发以及教育教学领域。

以下的WireShark命令备忘录将有助于更好的使用它来进行网络分析。

抓取接口

-i <interface>:网络接口的名称或索引(默认使用第一个非环回接口)

-f <capture filter>:符合libpcap筛选语法的包筛选器

-s <snaplen>:包快照长度(默认为65535字节)

-p:采用非混杂模式抓取数据包

-k:启动后立即抓取数据包(默认不做任何操作)

-Q:抓取完成后退出wireshark

-S:自动更新包显示页面

-I:当使用-S命令时自动启用滚动条

-B <buffer size>:内核缓存大小(默认为1MB)

-y <link type>:数据链路层类型(默认使用最先适配)

-D:显示所有接口类型并退出

-L:显示所有接口的数据链路类型并退出

-list-time-stamp-types:显示所有接口的时间戳类型并退出

停止抓取条件

-c <package count>:在抓取n个包后停止(默认为不限制)

-a <autostop cond.> … duration:NUM:在抓取NUM秒后停止

filesize:NUM:在文件达到NUM KB后停止

files:NUM:生成NUM个文件后停止

抓取输出

-b <ringbuffer opt.> … duration:NUM:在NUM秒后切换到下一文件

filesize:NUM:在输出文件达到NUM KB后切换到下一文件

files:NUM – ringbuffer:在生成NUM个文件后替换原文件

RPCAP选项

-A <user>:<password>:使用RPCAP认证

输入文件

-r <infile>:设置读取的文件(不能使用管道和标准输入)

处理

-R <read filter>:读取包筛选器

-n:禁止所有名称解析(默认全部允许)

-N <name resolve flags>:允许特定的名称解析

-d <layer_type>==<selector>,<decode_as_protocol>:类型==选择器

例如:tcp.port==8888,http

-disable-protocol <proto_name>:不解析的协议包

-enable-heuristic <short_name>:允许使用启发式协议解析

-disable-heuristic <short_name>:禁止使用启发式协议解析

用户界面

-C <config profile>:使用特定的配置文件启动

-Y <display filter>:使用给定的筛选器启动

-g <packet number>:使用-r命令后转到特定的包

-J <jump filter>:跳转到第一个匹配筛选的包

-j :在使用-J命令后后台筛选

-m <font>:指定文件字体

-t :指定输出日期格式,选项包括a|ad|d|dd|e|r|u|ud

-s :指定输出时间格式,选项包括s|hms

-X <key>:<value>:扩展命令

-z <zstatics>:显示统计信息

输出

-w <outfile|->:指定输出文件或标准输出(”-“)

其他

-h :显示帮助信息并退出

-v :显示版本信息并退出

-P <key:path> persconf:path:个人配置文件

-o <name>:<value>:覆盖首选项或最近的设置

-K <keytab>:用于kerberos解密的keytab文件

适用于所有筛选器的逻辑操作符

例如:http & ip.src == 192.168.0.1

管理帧:网络设备和客户端之间连接的帧

控制帧:控制网络设备和客户端之间数据通信的完整性

数据帧:传输原始数据的帧

只显示管理帧的流出数据包

wlan.fc.type==0

显示控制帧的双向数据包

wlan.fc.type==1

显示数据帧的数据包信息

wlan.fc.type==2

关联请求信息

wlan.fc.type_subtype==0

关联响应信息

wlan.fc.type_subtype==1

探测请求信息

wlan.fc.type_subtype==4

显示探测请求的响应

wlan.fc.type_subtype==5

列出信标信息/波

wlan.fc.type_subtype==8

显示认证请求

wlan.fc.type_subtype==11

显示去认证请求

wlan.fc.type_subtype==12

显示xx端口的出包信息

tcp.port== xx

显示源端口为xx的包信息

tcp.srcport==xx

显示目标端口为xx的包信息

tcp.dstport==xx

显示UDP协议xx端口的出包信息

udp.port==xx

显示源端口为xx的UDP包信息

udp.srcport==xx

显示目标端口为xx的UPD包信息

udp.dstport==xx

显示所有HTTP请求

http.request

显示源地址或目标地址使用特定MAC-Address的包信息

wlan.addr == MAC-Address

显示源地址使用特定MAC-Address的包信息

wlan.sa == MAC-Address

显示目标地址使用特定MAC-Address的包信息

wlan.da == MAC-Address

发表评论

电子邮件地址不会被公开。 必填项已用*标注