tshark是wireshark安裝目錄下命令行工具
使用tshark可以通過自動化方式調用wireshark
tshark
-a duration:30 抓包30秒
-w cap.cap 保存為cap.cap
-r cap.cap 讀取指定報文
-f arp 抓取arp報文,捕獲過濾
-R ip.addr==10.0.0.1 顯示指定IP地址報文,顯示過濾
tshark -n -t a -R ssl -T fields -e "ip.src" -e "ssl.app_data"
顯示ssl data數據
tshark -a duration:10 -V -T text 直接顯示報文頭部解析內容
tshark -r temp.cap -R "ssl" -V -T text 讀取指定報文,按照ssl過濾顯示內容
tshark -r temp.cap -z "follow,tcp,ascii,13" -q 過濾tcp流13,獲取data內容
-z "follow,tcp,ascii,10.0.0.1:80,10.0.0.2:12335"
tshark -r temp.cap -R ssl -Tfields -e "ip.src" -e tcp.srcport -e ip.dst -e tcp.dstport 按照指定格式顯示