Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3056146
  • 博文数量: 535
  • 博客积分: 15788
  • 博客等级: 上将
  • 技术积分: 6507
  • 用 户 组: 普通用户
  • 注册时间: 2007-03-07 09:11
文章分类

全部博文(535)

文章存档

2016年(1)

2015年(1)

2014年(10)

2013年(26)

2012年(43)

2011年(86)

2010年(76)

2009年(136)

2008年(97)

2007年(59)

分类: LINUX

2010-12-28 13:26:41

tshark是wireshark的命令行版本


下载:
选择Source Code

安装
yum install libpcap libpcap-devel
./configure&&make&&make install

使用:
文档:

例如:
监听http流量,并打印出host 和request url
./tshark -f "dst port 80" -l -p -a duration:10  -T fields -e http.host -e http.request.uri  -i 1

其中-i 1 为使用的网卡,可以根据下面的命令获得:
./tshark  -D

其他参数
-l is normally used when piping a live capture to a program or script, so that output for a packet shows up as soon as the packet is seen and dissected, it should work just as well as true line-buffering

-a ...  duration:NUM - stop after NUM seconds
                           filesize:NUM - stop this file after NUM KB
                              files:NUM - stop after NUM files

Don't put the interface into promiscuous mode. Note that the interface might be in promiscuous mode for some other reason; hence, -p cannot be used to ensure that the only traffic that is captured is traffic sent to or from the machine on which TShark is running, broadcast traffic, and multicast traffic to addresses received by that machine.


关于fields,可以通过-G来查看:
 ./tshark -G |grep http

阅读(12450) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~