《centos下安裝網(wǎng)絡(luò)封包分析軟件wireshark》要點(diǎn):
本文介紹了centos下安裝網(wǎng)絡(luò)封包分析軟件wireshark,希望對(duì)您有用。如果有疑問(wèn),可以聯(lián)系我們。
相關(guān)主題:LINUX服務(wù)器環(huán)境架設(shè)
centos下安裝網(wǎng)絡(luò)封包分析軟件wireshark相當(dāng)簡(jiǎn)單.兩條命令就夠了.
這里主要是記錄使用方面的東西
安裝:
1、yum install wireshark。注意這樣并無(wú)法使用wireshark命令和圖形界面。但提供了抓包基本功能。
2、yum install wireshark-gnome。這樣就可以方便的使用了。
【簡(jiǎn)易使用】#tshark; 監(jiān)控所有數(shù)據(jù),實(shí)時(shí)變化。
【簡(jiǎn)易使用】#tshark host 192.168.1.219; 監(jiān)控192.168.1.219數(shù)據(jù)
【簡(jiǎn)易使用】#tshark -wpacket.txt -i etho -q這樣就會(huì)把捕捉到的網(wǎng)絡(luò)包存放在packet.txt文件里面,要查看詳情的話(huà): tshark -rpacket.txt -x -V|more即可
如果能登錄圖形界面終端.那使用和windows下的無(wú)區(qū)別.但我們的服務(wù)器都在國(guó)外.要管理的話(huà)都是SSH登錄只能用命令行了。使用wireshark的命令行工具tshark,在安裝的時(shí)候會(huì)默認(rèn)給安裝上的,使用方法很簡(jiǎn)單,要捕捉包: tshark -wpacket.txt -i etho -q這樣就會(huì)把捕捉到的網(wǎng)絡(luò)包存放在packet.txt文件里面,要查看詳情的話(huà): tshark -rpacket.txt -x -V|more即可.
下面理一下所有參數(shù)的作用:
-a <capture autostop condition>
設(shè)置一個(gè)標(biāo)準(zhǔn)用來(lái)指定Wireshark什么時(shí)候停止捕捉文件。標(biāo)準(zhǔn)的格式為 test:value,test值為下面中的一個(gè)。
duration:value
當(dāng)捕捉持續(xù)描述超過(guò)Value值,停止寫(xiě)入捕捉文件。
filesize:value
當(dāng)捕捉文件大小達(dá)到Value值kilobytes(kilobytes表示1000bytes,而不是1024 bytes),停止寫(xiě)入捕捉文件。如果該選項(xiàng)和-b選項(xiàng)同時(shí)使用,Wireshark在達(dá)到指定文件大小時(shí)會(huì)停止寫(xiě)入當(dāng)前捕捉文件,并切換到下一個(gè)文件。
files:value
當(dāng)文件數(shù)達(dá)到Value值時(shí)停止寫(xiě)入捕捉文件
-b <capture ring buffer option>
如果指定捕捉文件最大尺寸,因?yàn)閃ireshark運(yùn)行在"ring buffer"模式,被指定了文件數(shù)。在"ring buffer"模式下,Wireshark 會(huì)寫(xiě)到多個(gè)捕捉文件。它們的名字由文件數(shù)和創(chuàng)建日期,時(shí)間決定。
當(dāng)?shù)谝粋€(gè)捕捉文件被寫(xiě)滿(mǎn),Wireshark會(huì)跳轉(zhuǎn)到下一個(gè)文件寫(xiě)入,直到寫(xiě)滿(mǎn)最后一個(gè)文件,此時(shí)Wireshark會(huì)丟棄第一個(gè)文件的數(shù)據(jù)(除非將files設(shè)置為0,如果設(shè)置為0,將沒(méi)有文件數(shù)限制),將數(shù)據(jù)寫(xiě)入該文件。
如果duration選項(xiàng)被指定,當(dāng)捕捉持續(xù)時(shí)間達(dá)到指定值的秒數(shù),Wireshark同樣會(huì)切換到下個(gè)文件,即使文件未被寫(xiě)滿(mǎn)。
duration:value
當(dāng)捕捉持續(xù)描述超過(guò)Value值,即使文件未被寫(xiě)滿(mǎn),也會(huì)切換到下個(gè)文件繼續(xù)寫(xiě)入。
filesize:value
當(dāng)文件大小達(dá)到value值kilobytes時(shí)(kelobyte表示1000bytes,而不是1024bytes),切換到下一個(gè)文件。
files:value
當(dāng)文件數(shù)達(dá)到value值時(shí),從第一個(gè)文件重新開(kāi)始寫(xiě)入。
-B <capture buffer size (Win32 only)>
僅適合Win32:設(shè)置文件緩沖大小(單位是MB,默認(rèn)是1MB).被捕捉驅(qū)動(dòng)用來(lái)緩沖包數(shù)據(jù),直到達(dá)到緩沖大小才寫(xiě)入磁盤(pán)。如果捕捉時(shí)碰到丟包現(xiàn)象,可以嘗試增大它的大小。
-c <capture packet count>
實(shí)時(shí)捕捉中指定捕捉包的最大數(shù)目,它通常在連接詞-k選項(xiàng)中使用。
-D
打印可以被Wireshark用于捕捉的接口列表。每個(gè)接口都有一個(gè)編號(hào)和名稱(chēng)(可能緊跟在接口描述之后?)會(huì)被打印,接口名或接口編號(hào)可以提供給-i參數(shù)來(lái)指定進(jìn)行捕捉的接口(這里打印應(yīng)該是說(shuō)在屏幕上打印)。
在那些沒(méi)有命令可以顯示列表的平臺(tái)(例如Windows,或者缺少ifconfig -a命令的UNIX平臺(tái))這個(gè)命令很有用;接口編號(hào)在Windows 2000及后續(xù)平臺(tái)的接口名稱(chēng)通常是一些復(fù)雜字符串,這時(shí)使用接口編號(hào)會(huì)更方便點(diǎn)。
注意,"可以被Wireshark用于捕捉"意思是說(shuō):Wireshark可以打開(kāi)那個(gè)設(shè)備進(jìn)行實(shí)時(shí)捕捉;如果在你的平臺(tái)進(jìn)行網(wǎng)絡(luò)捕捉需要使用有特殊權(quán)限的帳號(hào)(例如root,Windows下的Administrators組),在沒(méi)有這些權(quán)限的賬戶(hù)下添加-D不會(huì)顯示任何接口。
參數(shù):
-f <capture filter>
設(shè)置捕捉時(shí)的內(nèi)置過(guò)濾表達(dá)式
-g <packet number>
在使用-r參數(shù)讀取捕捉文件以后,使用該參數(shù)跳轉(zhuǎn)到指定編號(hào)的包。
-h
-h選項(xiàng)請(qǐng)求Wireshark打印該版本的命令使用方法(前面顯示的),然后退出。
-i <capture interface>
設(shè)置用于進(jìn)行捕捉的接口或管道。
網(wǎng)絡(luò)接口名稱(chēng)必須匹配Wireshark -D中的一個(gè);也可以使用Wireshark -D顯示的編號(hào),如果你使用UNIX,netstat -i或者ifconfig -a獲得的接口名也可以被使用。但不是所有的UNIX平臺(tái)都支持-a,ifconfig參數(shù)。
如果未指定參數(shù),Wireshark會(huì)搜索接口列表,選擇第一個(gè)非環(huán)回接口進(jìn)行捕捉,如果沒(méi)有非環(huán)回接口,會(huì)選擇第一個(gè)環(huán)回接口。如果沒(méi)有接口,wireshark會(huì)報(bào)告錯(cuò)誤,不執(zhí)行捕捉操作。
管道名即可以是FIFO(已命名管道),也可以使用"-"讀取標(biāo)準(zhǔn)輸入。從管道讀取的數(shù)據(jù)必須是標(biāo)準(zhǔn)的libpcap格式。
-k
-k選項(xiàng)指定Wireshark立即開(kāi)始捕捉。這個(gè)選項(xiàng)需要和-i參數(shù)配合使用來(lái)指定捕捉產(chǎn)生在哪個(gè)接口的包。
-l
打開(kāi)自動(dòng)滾屏選項(xiàng),在捕捉時(shí)有新數(shù)據(jù)進(jìn)入,會(huì)自動(dòng)翻動(dòng)"Packet list"面板(同-S參數(shù)一樣)。
-m <font>
設(shè)置顯示時(shí)的字體(編者認(rèn)為應(yīng)該添加字體范例)
-n
顯示網(wǎng)絡(luò)對(duì)象名字解析(例如TCP,UDP端口名,主機(jī)名)。
-N <name resolving flags>
對(duì)特定類(lèi)型的地址和端口號(hào)打開(kāi)名字解析功能;該參數(shù)是一個(gè)字符串,使用m可以開(kāi)啟MAC地址解析,n開(kāi)啟網(wǎng)絡(luò)地址解析,t開(kāi)啟傳輸層端口號(hào)解析。這些字符串在-n和-N參數(shù)同時(shí)存在時(shí)優(yōu)先級(jí)高于-n,字母C開(kāi)啟同時(shí)(異步)DNS查詢(xún)。
-o <preference/recent settings>
設(shè)置首選項(xiàng)或當(dāng)前值,覆蓋默認(rèn)值或其他從Preference/recent file讀取的參數(shù)、文件。該參數(shù)的值是一個(gè)字符串,形式為 prefname:value,prefnmae是首選項(xiàng)的選項(xiàng)名稱(chēng)(出現(xiàn)在preference/recent file上的名稱(chēng))。value是首選項(xiàng)參數(shù)對(duì)應(yīng)的值。多個(gè)-o <preference settings> 可以使用在單獨(dú)命中中。
設(shè)置單獨(dú)首選項(xiàng)的例子:
wireshark -o mgcp.display_dissect_tree:TRUE
設(shè)置多個(gè)首選項(xiàng)參數(shù)的例子:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627
-p
不將接口設(shè)置為雜收模式。注意可能因?yàn)槟承┰蛞廊怀鲇陔s收模式;這樣,-p不能確定接口是否僅捕捉自己發(fā)送或接受的包以及到該地址的廣播包,多播包
-Q
禁止Wireshark在捕捉完成時(shí)退出。它可以和-c選項(xiàng)一起使用。他們必須在出現(xiàn)在-i -w連接詞中。
-r <infile>
指定要讀取顯示的文件名。捕捉文件必須是Wireshark支持的格式。
-R <read(display) filter>
指定在文件讀取后應(yīng)用的過(guò)濾。過(guò)濾語(yǔ)法使用的是顯示過(guò)濾的語(yǔ)法,,不匹配的包不會(huì)被顯示。
-s <capture snaplen>
設(shè)置捕捉包時(shí)的快照長(zhǎng)度。Wireshark屆時(shí)僅捕捉每個(gè)包<snaplen>字節(jié)的數(shù)據(jù)。
-S
Wireshark在捕捉數(shù)據(jù)后立即顯示它們,通過(guò)在一個(gè)進(jìn)程捕捉數(shù)據(jù),另一個(gè)進(jìn)程顯示數(shù)據(jù)。這和捕捉選項(xiàng)對(duì)話(huà)框中的"Update list of packets in real time/實(shí)時(shí)顯示數(shù)據(jù)"功能相同。
-t <time stamp format>
設(shè)置顯示時(shí)間戳格式。可用的格式有
r 相對(duì)的,設(shè)置所有包時(shí)間戳顯示為相對(duì)于第一個(gè)包的時(shí)間。
a absolute,設(shè)置所有包顯示為絕對(duì)時(shí)間。
ad 絕對(duì)日期,設(shè)置所有包顯示為絕對(duì)日期時(shí)間。
d delta 設(shè)置時(shí)間戳顯示為相對(duì)于前一個(gè)包的時(shí)間
e epoch 設(shè)置時(shí)間戳顯示為從epoch起的妙數(shù)(1970年1月1日 00:00:00起)
-v
請(qǐng)求Wireshark打印出版本信息,然后退出
-w <savefile>
在保存文件時(shí)以savefile所填的字符為文件名。
-y <capture link type>
如果捕捉時(shí)帶有-k參數(shù),-y將指定捕捉包中數(shù)據(jù)鏈接類(lèi)型。The values reported by -L are the values that can be used.
-X <eXtension option>
設(shè)置一個(gè)選項(xiàng)傳送給TShark 模塊。eXtension 選項(xiàng)使用extension_key:值形式,extension_key:可以是:
lua_script:lua_script_filename,它告訴Wireshark載入指定的腳本。默認(rèn)腳本是Lua scripts.
-z <statistics-string>
得到Wireshark的多種類(lèi)型的統(tǒng)計(jì)信息,顯示結(jié)果在實(shí)時(shí)更新的窗口。
轉(zhuǎn)載請(qǐng)注明本頁(yè)網(wǎng)址:
http://www.fzlkiss.com/jiaocheng/29.html
