tshark-n-r<filename>-Eheader=y-Y'icmp.seq==21'-e'icmp.seq'-e'ip.src'-e'ip.dst'-Tfields|column-t 此时我们只想要内层IP,可以通过指定occurrence=l实现: 代码语言:shell AI代码解释 tshark-n-r<filename>-Eheader=y-Eoccurrence=l-Y'icmp.seq==21'-e'icmp.seq'-e'ip.src'-e'ip.dst'-...
tshark [options]:使用tshark捕获数据包,并根据所需选项进行配置。 -l:使tshark处于“行缓冲”模式,每处理完一个数据包就立即输出结果。 |(管道):将tshark的输出传递给下一个命令。 tee outputfile.txt:将tshark的输出同时显示在屏幕上并保存到名为outputfile.txt的文件中。 awk '{print $1}':使用awk仅...
-p: 以非混合模式工作,即只关心和本机有关的流量。-B: -B buffer size 设置缓冲区的大小,只对windows生效,默认是2M;-y: -ylink type 设置抓包的数据链路层协议,不设置则默认为-L找到的第一个协议,局域网一般是EN10MB等;-D: 打印接口的列表并退出;-L 列出本机支持的数据链路层协议,供-...
-y设置抓包的数据链路层协议,不设置则默认为-L找到的第一个协议,局域网一般是EN10MB等。 -L列出本机支持的数据链路层协议,供-y参数使用。 2. 抓包停止条件 -c抓取的packet数,在处理一定数量的packet后,停止抓取,程序退出。 -a设置tshark抓包停止向文件书写的条件,事实上是tshark在正常启动之后停止工作并返回的条...
[ -E <现场打印选项>] [ -f <捕获筛选>] [ -F <文件格式>] [ -g ] [ -h ] [ -H <输入hosts文件>] [ -i <采集界面> | - ] [ -I ] [ -K <密钥表>] [ -l ] [ -L ] [ -n ] [ -N <名称解析标志>] [ -o <...
-L 列出本机支持的数据链路层协议,供-y参数使用。 2.抓包停止条件 -c 抓取的packet数,在处理一定数量的packet后,停止抓取,程序退出。 -a 设置tshark抓包停止向文件书写的条件,事实上是tshark在正常启动之后停止工作并返回的条件。条件写为test:value的形式,如“-a duration:5”表示tshark启动后在5秒内抓包然后停...
发生= F | L |一个用于具有多个事件字段选择对哪些发生。如果F第一次出现将被使用,如果升 最后出现的将被使用,如果一个事件都将使用(这是默认值)。 聚合=,| / S | <字符>设置聚合字符用于具有多次出现的字段。如果,一个逗号将被使用(这是默认值),如果/秒,一个单一的空间将被使用。否则,可以通过命令行...
tshark -s 0 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l -c 500 注释: -f: 抓包前过滤; -R: 抓包后过滤; -l: 在打印结果之前清空缓存; -c: 在抓500个包之后结束; ...
lneato(1) loadkeys(1) locale(1) localedef(1) locate(1) lockfile(1) log2pcap(1) logger(1) logger(1B) login(1) logname(1) logname(1g) logout(1) look(1) lookbib(1) lorder(1) lp(1) lpoptions(1) lppasswd(1) lpq(1) lpr(1) lprm(1) lpstat(1) ls(1) ls(1B) ls(1g) lu...
-L print list of link-layer types of iface and exit [root@Nagios341 ~]#tshark -D 1. eth0 2. usbmon1 (USB bus number 1) 3. any (Pseudo-device that captures on all interfaces) 4. lo [root@Nagios341 ~]#tshark -f "tcp dst port 443 " -i 1 -D查询当前系统可以捕获的借口 -i制...