网络分析利器wireshark命令版(2)：tshark使用示例

tshark是wireshark网络分析工具下的一个分支，主要用于命令行环境进行抓包、分析，尤为对协议深层解析时，tcpdump难以胜任的场景中。本系列文章将整理介绍tshark相关内容。

基本用法

经常使用命令

• 查看tshark版本

tshark -v

• 列出当前存在的网络接口

tshark -D
网卡描述依据OS有不一样的编号方式，在不了解网络设备及编号状况下，通常先用“tshark -D”查看网络接口的编号以供-i参数使用。
注: linux能够结合ifconfig命令查看

• tshark对指定网卡监听，抓包

sudo tshark -i <interface>

• 抓取网卡eth0的流量并写入capture123.pcap

tshark -i eth0 -w capture123.pcap

• 读取以前的文件capture123.pcap

tshark -i eth0 -r capture123.pcap

• 抓取网卡eth0的流量10分钟

tshark -i eth0 -a duration:600

注: 默认时间单位为秒

• 抓取网卡eth0的10000个数据包

tshark -c 10000 -i eth0

• 抓取网卡eth0涉及192.168.1.1的流量报文

tshark -i eth0 -f “host 192.168.1.1”
注: 与wireshark、tcpdump一致，均使用BPF过滤表达式

• 抓取网卡eth0指定协议的流量报文

tshark -i eth0 -f “<协议名>”
协议名能够为： tcp, udp, dns, icmp, http等

案例

实时打印当前mysql查询语句

tshark -s 512 -i eth1 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query

说明：

• -s 512 :只抓取前512个字节数据
• -i eth0 :监听eth0网卡
• -n :禁止域名解析
• -f ‘tcp dst port 3306’ :只捕捉协议为tcp,目的端口为3306的数据包
• -R ‘mysql.query’ :过滤出mysql.query查询语句的报文
• -T fields -e mysql.query :打印mysql查询语句

实时打印当前http请求的url(包括域名)

tshark -s 512 -i eth1 -n -f 'tcp dst port 8000' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d 't'

说明：

• -s 512 :只抓取前512个字节数据
• -i eth1 :监听eth1网卡
• -n :禁止网络对象名称解析
• -f ‘tcp dst port 8000’ :只捕捉协议为tcp,目的端口为8000的数据包
• -R ‘http.host and http.request.uri’ :过滤出http.host和http.request.uri
• -T fields -e http.host -e http.request.uri :打印http.host和http.request.uri
• -l ：输出到标准输出

读取以前抓包文件进行报文数据分析

须要从抓包的文件evidence04.pcap中提取出报文相关数据信息，如时间、源IP、目的IP、协议名、源Port、標Port、包大小等信息，最后输出到csv文件。

tshark -r evidence.pcap -T fields -e frame.time_relative -e ip.src -e ip.dst -e ip.proto -e tcp.srcport -e tcp.dstport -e frame.len -E header=n -E separator=, -E quote=n -E occurrence=f > output.csv

说明：

• -r evidence.pcap 须要分析的报文记录文件（pcap格式）
• -T fields 输出格式，选fields按字段，也能够选json等其余格式，需结合-e 及 -E使用
• -e frame.time_relative 取出封包的相对时间
• -e ip.src 提取源IP
• -e ip.dst 提取目的IP
• -e ip.proto 提取协议名
• -e tcp.srcport 提取源Port
• -e tcp.dstport 提取目的Port
• -e frame.len 提取数据帧大小
• -E header=n 是否输出字段名称（cvs的第1行）
• -E separator=, 指定分割符，/t是tab，/s是一格空格
• -E quote=n 指定是否对字段用引号，d是双引号，s是单引号，n是不用
• -E occurrence=f 多值时是否保留，f是第一个值，l是最后一个值，a是全部值都列出，默认所有
• output.csv 输出文件路径及名称

DNS报文过滤

使用tshark过滤dns cap包中源ip、目的ip、request请求

tshark -r test.cap -T fields -e frame.time -e ip.src -e ip.dst -e dns.qry.name -R 'udp.dstport==53 || dns'

说明：

• -r test.pcap 须要分析的报文记录文件（pcap格式）
• -T fields 输出格式，选fields按字段，也能够选json等其余格式，需结合-e 及 -E使用
• -e frame.time 提取数据帧时间
• -e ip.src 提取源IP
• -e ip.dst 提取目的IP
• -e dns.qry.name 提取dns查询的域名信息
• -R 'udp.dstport==53 || dns' 显示过滤，仅对udp目标端口为53或者dns协议的报文进行处理
• 默认直接显示在终端上，不记录文件。

常见问题

tshark: Only read filters, not capture filters, can be specified when reading a capture file.

tshark -r 20190409.pcap -f 'udp' -w udp-20190409.pcap

读取文件时只能使用显示过滤，也就是只能使用-Y或-2 -R过滤

tshark: -R without -2 is deprecated. For single-pass filtering use -Y.

tshark -r 20190409.pcap -R 'udp' -w udp-20190409.pcap

显示过滤-R参数须要和-2一块儿使用，或使用-Y

参考:

• tshark很快，但要怎麼用？
• ethereal-filter
• 使用tshark 和 shell脚本分析 DNS pcap包

系列文章：

• 网络分析利器wireshark命令版(1)：tshark简介
• 网络分析利器wireshark命令版(2)：tshark使用示例
• 网络分析利器wireshark命令版(3)：Apache Spot中tshark模块
• 网络分析利器wireshark命令版(4)：tshark结合ES