pkt_comment过滤没有注释的包。
frame contains "X-Slogan" 查看隐藏在wen浏览会话中的数据。
捕获文件的基本信息:
C:\Users\Administrator>cd /d d:
D:\>cd wireshark
分割文件
D:\wireshark>editcap -c 1000 n4.pcapng aset.pcapng
基于时间方式分割文件
editcap -i 360 time.pcapng timeset.pcapng
捕获文件为文件集
capinfos filename.pcapng
过滤器
tcp.analysis.flags && !tcp.analysis.window_update
合并多个捕获文件
mergecap -w http.pcapng port*.*
查看分割生成的文件集
D:\wireshark>dir aset*.*
使用Dumpcaphe捕获数据
dumpcap -D 查看本机可用的接口
捕获数据时可以使用-a 或 -c选项指定停止捕获数据包的条件
dumpcap -i 4 -a filesize:1000 -w 1000kb.pcapng
-i 4 指定捕获接口4数据
-a filesize:1000 捕获文件大小为1000kb时 自动停止捕获
-w 1000kb.pcapng 表示指定捕获的文件名称为1000kb.pcapng
使用Tshark捕获数据
当命令行 Tshark-c 100-w 10.pcapng时实际上时dumpcap
Tshark可以使用&ndash
捕获过程中可以使用<host file>选项
Tshark可以处理已存在的捕获文件
Tshark 使用显示过滤器处理已存在的捕获文件
Tshark -r http.pcapng -Y "ip.addr == 192.168.0.104" -w myhttp.pcapng
捕获新文件的基本信息
dir filename
导出字段值
导出主机 “ip” 端口80的帧编号、源ip、目标ip、TCP窗口大小的字段值
tshark -i4 -f "dst port 80 and host 192.168.0.3" -T fields -e frame.number -e ip.src -e ipdst -e tcp.window_size
导出HTTP包的host字段值 导入一个文本中
tshark -i 4 -Y "http.host" -T fields -e http.host > httphosts.txt
导出数据统计 Tshark -z可以查看大量数据的统计信息 如果不想在屏幕上显示每个帧 则使用-q
查看协议分层统计信息
tshark -i 4 -qz io,phs ( > a.txt)
用户提取专家信息中的notes信息 -r实现
tshark -r "http.pcapng" -qz expert,notes
网友评论