Linux上安装和使用Wireshark

CentOS下安装Wireshark相当简单.两条命令就够了.这里.主要是记录写使用方面的东西安装:
1、yum install wireshark。注意这样并无法使用wireshark命令和图形界面。但提供了抓包基本功能。
2、yum install wireshark-gnome。这样就可以方便的使用了。【简易使用】#tshark; 监控所有数据，实时变化。【简易使用】#tshark host 192.168.1.219; 监控192.168.1.219数据【简易使用】#tshark -wpacket.txt -i etho -q这样就会把捕捉到的网络包存放在packet.txt文件里面，要查看详情的话： tshark -rpacket.txt -x -V|more即可如果能登录图形界面终端.那使用和windows下的无区别.但我们的服务器都在国外.要管理的话都是SSH登录只能用命令行了。使用wireshark的命令行工具tshark，在安装的时候会默认给安装上的，使用方法很简单，要捕捉包： tshark -wpacket.txt -i etho -q这样就会把捕捉到的网络包存放在packet.txt文件里面，要查看详情的话： tshark -rpacket.txt -x -V|more即可.下面理一下所有参数的作用:

-a <capture autostop condition>

设置一个标准用来指定Wireshark什么时候停止捕捉文件。标准的格式为 test:value,test值为下面中的一个。

duration:value: 当捕捉持续描述超过Value值，停止写入捕捉文件。
filesize:value: 当捕捉文件大小达到Value值kilobytes（kilobytes表示1000bytes,而不是1024 bytes），停止写入捕捉文件。如果该选项和-b选项同时使用，Wireshark在达到指定文件大小时会停止写入当前捕捉文件，并切换到下一个文件。
files:value: 当文件数达到Value值时停止写入捕捉文件

-b <capture ring buffer option>

如果指定捕捉文件最大尺寸，因为Wireshark运行在"ring buffer"模式，被指定了文件数。在"ring buffer"模式下，Wireshark 会写到多个捕捉文件。它们的名字由文件数和创建日期，时间决定。当第一个捕捉文件被写满，Wireshark会跳转到下一个文件写入，直到写满最后一个文件，此时Wireshark会丢弃第一个文件的数据（除非将files设置为0，如果设置为0，将没有文件数限制），将数据写入该文件。如果duration选项被指定，当捕捉持续时间达到指定值的秒数，Wireshark同样会切换到下个文件，即使文件未被写满。

duration:value: 当捕捉持续描述超过Value值，即使文件未被写满，也会切换到下个文件继续写入。
filesize:value: 当文件大小达到value值kilobytes时（kelobyte表示1000bytes,而不是1024bytes），切换到下一个文件。
files:value: 当文件数达到value值时，从第一个文件重新开始写入。

-B <capture buffer size （Win32 only）>

仅适合Win32:设置文件缓冲大小（单位是MB,默认是1MB）.被捕捉驱动用来缓冲包数据，直到达到缓冲大小才写入磁盘。如果捕捉时碰到丢包现象，可以尝试增大它的大小。

-c <capture packet count>

实时捕捉中指定捕捉包的最大数目，它通常在连接词-k选项中使用。

-D

Fedora 16升级到Fedora 17过程摘记解决SELINUX限制quota的问题相关资讯 Wireshark

Ubuntu 16.04下安装网络流量分析工（今 16:03）
Wireshark IEEE 802.11解析器拒绝（04月28日）
Wireshark MS-WSP解析器拒绝服务漏（04月27日）

Wireshark WSP解析器拒绝服务漏洞（（08月16日）
Wireshark TShark 解析器拒绝服务（04月27日）
Wireshark IAX2解析器拒绝服务漏洞（04月26日）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规