轉自:https://blog.csdn.net/qq_29277155/article/details/52099982
0x00 前言
tshark是WireShark的命令行版本,有類似tcpdump的輸出。在捕獲流量時,使用命令行模式,可以節省主機的資源消耗,並且一邊捕獲一邊顯示過濾,也對主機資源造成性能上的影響。所以在連續捕獲大流量的時候,可以使用命令行的方式進行捕獲流量
0x01 tshark 常用命令
tshark -D # 列出可以進行監聽的接口
tshark -i 1 # 捕獲第一個接口的流量,並且顯示在屏幕上。1 代表使用-L 顯示出來的第一個接口,可以通過wireshark的圖形界面查看接口:第一個接口的序號爲1,第二個接口的序號爲2
tshark -i 1 -w C:\2016.pcapng #捕獲第一個接口的所有流量,並把流量文件保存在C:\2016.pcapng
tshark -i 1 -B 10 -p -f " host 10.118.60.113" -w C:\2016.pcapng #使用捕獲過濾器" host 10.118.60.113" ,不使用混雜模式監聽流量,增大緩存爲10M,捕獲第一個接口的所有流量,並把流量文件保存在C:\2016.pcapng
tshark -i 1 # 捕獲第一個接口的流量,並且顯示在屏幕上。1 代表使用參數“-D ”顯示出來的第一個接口,可以通過wireshark的圖形界面查看接口:第一個接口的序號爲1,第二個接口的序號爲2
tshark -i 1 -p -w C:\2016.pcapng #不使用混雜模式監聽流量,捕獲第一個接口的所有流量,並把流量文件保存在C:\2016.pcapng
tshark -np -i 1 #以管理模式進行捕獲流量
tshark -n -i 1 #以監聽模式進行捕獲流量
詳細的參數可參考如下:
tshark -h 或者man tshakrk
wireshark 主界面--【幫助】--【說明文檔】--【tshark】
本地wireshark幫助文檔: C:\Program Files\Wireshark\user-guide.chm
0x02 tcpdump常用命令
tcpdump -D # 列出可以進行監聽的接口
tcpdump -i 1 -w 2016 #捕獲接口1的流量包,並且保存爲2016
tcpdump host 10.202.37.88 -w 2016 #捕獲主機10.202.37.88的流量包,並且保存
tcpdump -i 1 -vvv -w 2016# 使用計數模式來顯示已經捕獲的數據包
tcpdump -i 1 -c 20000 -w 2016 #捕獲2000個包後,保存文件
0x03 linux設置監聽模式
第一步:
wardrive@~:# iwconfig wlan0 mode monitor channel 1
wardrive@~:# iwconfig wlan0 | grep Mode
Mode:Monitor Frequency:2.412GHz Access Point: 00:00:00:00:00:00
wardrive@~:# ifconfig wlan0 | grep HWaddr
wlan0 Link encap:UNSPEC HWaddr00-30-F1-0E-51-1F-00-00-00-00-00-00-00-00-00-00
wardrive@~:# wlanconfig ath0 destroy
wardrive@~:# wlanconfig ath0 create wlandev wifi0 wlanmode monitor
ath0
wardrive@~:# ifconfig ath0 up
wardrive@~:# iwconfig ath0 | grep Mode
Mode:monitor Frequency:2.412 GHz Access Point: 00:00:00:00:00:00
第三步:
wardrive@~:# rmmod ath_pci
wardrive@~:# modprobe ath_pci autocreate=none
0x04 參考資料
詳細的參數可參考如下:
tcpdump的本身幫助文檔: tcpdump -h 或者man tcpdump
tcpdump的官方幫助文檔: http://www.tcpdump.org/manpages/tcpdump.1.html