Il s'agit de la commande tshark qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
tshark - Vider et analyser le trafic réseau
SYNOPSIS
Tshark [ -2 ] [ -a ] ...
[ -b ] ... [ -B ]
[ -c ] [ -C ]
[ -d == , ] [ -D ] [ -e ]
[ -E ] [ -f ] [ -F ] [ -g ] [ -h ]
[ -H ] [ -i |- ] [ -I ] [ -K ] [ -l ]
[ -L ] [ -n ] [ -N ] [ -o ] ...
[ -O ] [ -p ] [ -P ] [ -q ] [ -Q ] [ -r ] [ -R ]
[ -s ] [ -S ] [ -t a|ad|adoy|d|dd|e|r|u|ud|udoy ]
[ -T champs|pdml|ps|psml|texte ] [ -u ] [ -v ] [ -V ] [ -w |- ]
[ -W ] [ -x ] [ -X ] [ -y ]
[ -Y ] [ -z ] [ --capture-commentaire ]
[ ]
Tshark -G [ ]
DESCRIPTION
Requin est un analyseur de protocole réseau. Il vous permet de capturer des données de paquets à partir d'un
réseau, ou lire des paquets à partir d'un fichier de capture précédemment enregistré, soit en imprimant un
forme de ces paquets sur la sortie standard ou en écrivant les paquets dans un fichier. Requin's
le format de fichier de capture natif est pcap format, qui est aussi le format utilisé par tcpdump et
divers autres outils.
Sans aucune option définie, Requin fonctionnera un peu comme tcpdump. Il utilisera la bibliothèque pcap
pour capturer le trafic de la première interface réseau disponible et affiche une ligne récapitulative
sur stdout pour chaque paquet reçu.
Requin est capable de détecter, lire et écrire les mêmes fichiers de capture qui sont pris en charge par
Wireshark. Le fichier d'entrée n'a pas besoin d'une extension de nom de fichier spécifique ; le format de fichier et
une compression gzip facultative sera automatiquement détectée. Près du début de la
section DESCRIPTION de Wireshark(1) ou
est une description détaillée de la
manière Wireshark gère cela, ce qui est de la même manière tshark gère cela.
La prise en charge des fichiers compressés utilise (et nécessite donc) la bibliothèque zlib. Si le zlib
la bibliothèque n'est pas présente, Requin compilera, mais sera incapable de lire les fichiers compressés.
Si la -w l'option n'est pas spécifiée, Requin écrit sur la sortie standard le texte d'un
forme décodée des paquets qu'il capture ou lit. Si la -w l'option est spécifiée, Requin
écrit dans le fichier spécifié par cette option les données brutes des paquets, ainsi que le
les horodatages des paquets.
Lors de l'écriture d'une forme décodée de paquets, Requin écrit, par défaut, une ligne récapitulative
contenant les champs spécifiés par le fichier de préférences (qui sont aussi les champs
affiché dans le volet de la liste des paquets dans Wireshark), bien que s'il écrit des paquets comme il
les capture, plutôt que d'écrire des paquets à partir d'un fichier de capture enregistré, il n'affichera pas le
champ "numéro de trame". Si la -V est spécifiée, il écrit à la place une vue de la
détails du paquet, montrant tous les champs de tous les protocoles du paquet. Si la -O
est spécifiée, elle n'affichera que les protocoles complets spécifiés. Utiliser la sortie de
"Tshark -G protocoles" pour trouver les abréviations des protocoles que vous pouvez spécifier.
Si vous souhaitez écrire la forme décodée des paquets dans un fichier, exécutez Requin sans -w
et redirigez sa sortie standard vers le fichier (faites pas utiliser le -w option).
Lors de l'écriture de paquets dans un fichier, Requin, par défaut, écrit le fichier dans pcap format, et
écrit tous les paquets qu'il voit dans le fichier de sortie. Les -F l'option peut être utilisée pour
spécifier le format dans lequel écrire le fichier. Cette liste de formats de fichiers disponibles est
affiché par le -F indicateur sans valeur. Cependant, vous ne pouvez pas spécifier un format de fichier pour un
capture en direct.
Lire les filtres dans Requin, qui vous permettent de sélectionner les paquets à décoder ou
écrites dans un fichier, sont très puissantes ; plus de champs sont filtrables dans Requin que dans d'autres
analyseurs de protocole, et la syntaxe que vous pouvez utiliser pour créer vos filtres est plus riche. Comme
Requin progresse, attendez-vous à ce que de plus en plus de champs de protocole soient autorisés dans les filtres de lecture.
La capture de paquets est effectuée avec la bibliothèque pcap. La syntaxe du filtre de capture suit
les règles de la bibliothèque pcap. Cette syntaxe est différente de la syntaxe du filtre de lecture. UNE
le filtre de lecture peut également être spécifié lors de la capture, et seuls les paquets qui passent la lecture
le filtre sera affiché ou enregistré dans le fichier de sortie ; notez cependant que les filtres de capture
sont beaucoup plus efficaces que les filtres de lecture, et il peut être plus difficile pour Requin de conserver
avec un réseau occupé si un filtre de lecture est spécifié pour une capture en direct.
Un filtre de capture ou de lecture peut être spécifié avec le -f or -R option, respectivement,
auquel cas l'intégralité de l'expression du filtre doit être spécifiée en tant qu'argument unique (ce qui
signifie que s'il contient des espaces, il doit être entre guillemets), ou peut être spécifié avec la commande-
arguments de ligne après les arguments d'option, auquel cas tous les arguments après le
les arguments de filtre sont traités comme une expression de filtre. Les filtres de capture sont pris en charge uniquement
lors d'une capture en direct ; les filtres de lecture sont pris en charge lors d'une capture en direct et lorsque
lire un fichier de capture, mais nécessite que TShark fasse plus de travail lors du filtrage, vous pourriez donc être
plus susceptible de perdre des paquets sous une charge importante si vous utilisez un filtre de lecture. Si le filtre
est spécifié avec des arguments de ligne de commande après les arguments d'option, c'est un filtre de capture
si une capture est en cours (c'est-à-dire si -r a été spécifiée) et un filtre de lecture si un
le fichier de capture est en cours de lecture (c'est-à-dire si un -r option a été spécifiée).
Le -G option est un mode spécial qui provoque simplement tshark jeter l'un des nombreux types de
glossaires internes, puis quittez.
OPTIONS
-2 Effectuez une analyse en deux passes. Cela amène tshark à mettre en mémoire tampon la sortie jusqu'à ce que l'ensemble
le premier passage est fait, mais lui permet de remplir des champs qui nécessitent des connaissances futures,
tels que les champs « réponse dans le cadre # ». Permet également aux dépendances du cadre de réassemblage d'être
calculé correctement.
-une
Spécifiez un critère qui spécifie quand Requin est d'arrêter d'écrire dans un fichier de capture.
Le critère est de la forme tester:valeur, Où tester fait partie de:
durée:valeur Arrêtez d'écrire dans un fichier de capture après valeur secondes se sont écoulées.
taille du fichier:valeur Arrêtez d'écrire dans un fichier de capture lorsqu'il atteint une taille de valeur Ko. Si
cette option est utilisée avec l'option -b, Requin arrêtera d'écrire au
fichier de capture actuel et passez au suivant si la taille du fichier est atteinte. Lors de la lecture
un fichier de capture, Requin arrêtera de lire le fichier après le nombre d'octets lus
dépasse ce nombre (le paquet complet sera lu, donc plus d'octets que ce nombre
peut être lu). Notez que la taille du fichier est limitée à une valeur maximale de 2 Gio.
fichiers:valeur Arrêtez d'écrire pour capturer des fichiers après valeur nombre de fichiers ont été écrits.
-b
Causes Requin pour fonctionner en mode "fichiers multiples". En mode "fichiers multiples", Requin vont
écrire dans plusieurs fichiers de capture. Lorsque le premier fichier de capture se remplit, Requin vont
basculer l'écriture dans le fichier suivant et ainsi de suite.
Les noms de fichiers créés sont basés sur le nom de fichier donné avec le -w option, le numéro
du fichier et à la date et l'heure de création, par exemple outfile_00001_20050604120117.pcap,
outfile_00002_20050604120523.pcap, ...
Avec la collection fichiers option, il est également possible de former un "tampon en anneau". Cela remplira
nouveaux fichiers jusqu'au nombre de fichiers spécifié, auquel cas Requin jettera le
données dans le premier fichier et commencez à écrire dans ce fichier et ainsi de suite. Si la fichiers option
n'est pas défini, les nouveaux fichiers sont remplis jusqu'à ce que l'une des conditions d'arrêt de capture corresponde (ou
jusqu'à ce que le disque soit plein).
Le critère est de la forme clé:valeur, Où clé fait partie de:
durée:valeur passer au fichier suivant après valeur secondes se sont écoulées, même si le
le fichier actuel n'est pas complètement rempli.
taille du fichier:valeur passer au fichier suivant après avoir atteint une taille de valeur Ko. Noter que
la taille du fichier est limitée à une valeur maximale de 2 Gio.
fichiers:valeur recommencer avec le premier fichier après valeur nombre de fichiers ont été écrits
(former un tampon en anneau). Cette valeur doit être inférieure à 100000. La prudence est de mise
lors de l'utilisation d'un grand nombre de fichiers : certains systèmes de fichiers ne gèrent pas beaucoup de fichiers dans un
répertoire unique bien. Les fichiers critère requiert soit durée or taille du fichier être
spécifié pour contrôler quand passer au fichier suivant. Il est à noter que chaque -b
paramètre prend exactement un critère ; pour spécifier deux critères, chacun doit être précédé
par le -b option.
Exemple : -b taille du fichier : 1000 -b fichiers:5 résulte en un tampon en anneau de cinq fichiers de taille
un mégaoctet chacun.
-B
Définir la taille du tampon de capture (en MiB, la valeur par défaut est 2 MiB). Ceci est utilisé par la capture
pilote pour mettre en mémoire tampon les données des paquets jusqu'à ce que ces données puissent être écrites sur le disque. Si vous rencontrez
les paquets tombent lors de la capture, essayez d'augmenter cette taille. Notez que, tandis que tshark
tente de définir la taille de la mémoire tampon à 2 Mio par défaut, et peut être invité à la définir sur un
valeur plus élevée, le système ou l'interface sur laquelle vous capturez peut limiter silencieusement
la taille du tampon de capture à une valeur inférieure ou l'augmenter à une valeur plus élevée.
Ceci est disponible sur les systèmes UNIX avec libpcap 1.0.0 ou version ultérieure et sur Windows. Il est
non disponible sur les systèmes UNIX avec des versions antérieures de libpcap.
Cette option peut se produire plusieurs fois. S'il est utilisé avant la première occurrence du -i
option, il définit la taille du tampon de capture par défaut. S'il est utilisé après une -i option, il définit
la taille du tampon de capture pour l'interface spécifiée par le dernier -i option survenant
avant cette option. Si la taille du tampon de capture n'est pas définie spécifiquement, la valeur par défaut
la taille du tampon de capture est utilisée à la place.
-c
Définissez le nombre maximal de paquets à lire lors de la capture de données en direct. Si vous lisez un
capture, définissez le nombre maximum de paquets à lire.
-C
Exécutez avec le profil de configuration donné.
-ré == ,
Comme Wireshark Décoder Trop cher .. fonctionnalité, cela vous permet de spécifier comment un type de couche doit
être disséqué. Si le type de couche en question (par exemple, tcp.port or udp.port |
numéro de port TCP ou UDP) a la valeur de sélecteur spécifiée, les paquets doivent être disséqués
comme protocole spécifié.
Exemple : -d tcp.port==8888,http décodera tout trafic s'exécutant sur le port TCP 8888 comme
HTTP.
Exemple : -d tcp.port==8888:3,http décodera tout trafic s'exécutant sur les ports TCP 8888,
8889 ou 8890 en HTTP.
Exemple : -d tcp.port==8888-8890,http décodera tout trafic s'exécutant sur les ports TCP
8888, 8889 ou 8890 en HTTP.
L'utilisation d'un sélecteur ou d'un protocole invalide imprimera une liste de sélecteurs valides et
les noms de protocole, respectivement.
Exemple : -d . est un moyen rapide d'obtenir une liste de sélecteurs valides.
Exemple : -d ethertype==0x0800. est un moyen rapide d'obtenir une liste de protocoles qui peuvent être
sélectionné avec un ethertype.
-D Imprimer une liste des interfaces sur lesquelles Requin peut capturer et sortir. Pour chaque
interface réseau, un numéro et un nom d'interface, éventuellement suivis d'un texte
description de l'interface, est imprimé. Le nom ou le numéro de l'interface peut être
fourni au -i option pour spécifier une interface sur laquelle capturer.
Cela peut être utile sur les systèmes qui n'ont pas de commande pour les répertorier (par exemple, Windows
ou les systèmes UNIX manquant i -a); le numéro peut être utile sous Windows
2000 et les systèmes ultérieurs, où le nom de l'interface est une chaîne quelque peu complexe.
Notez que "peut capturer" signifie que Requin a pu ouvrir cet appareil pour faire un live
Capturer. Selon votre système, vous devrez peut-être exécuter tshark à partir d'un compte avec
privilèges spéciaux (par exemple, en tant que root) pour pouvoir capturer le trafic réseau. Si
Requin -D n'est pas exécuté à partir d'un tel compte, il ne listera aucune interface.
-e
Ajouter un champ à la liste des champs à afficher si -T des champs est sélectionné. Cette option
peut être utilisé plusieurs fois sur la ligne de commande. Au moins un champ doit être fourni
si le -T des champs l'option est sélectionnée. Les noms de colonnes peuvent être préfixés par "_ws.col".
Exemple : -e Numéro de cadre -e adresse.ip -e udp -e _ws.col.Info
Donner un protocole plutôt qu'un seul champ imprimera plusieurs éléments de données sur
le protocole comme un champ unique. Les champs sont séparés par des tabulations par défaut.
-E contrôle le format des champs imprimés.
-E
Définir une option contrôlant l'impression des champs lorsque -T des champs est sélectionné.
Les options sont:
en-tête=y|n If y, imprime une liste des noms de champs donnés à l'aide de -e comme première ligne de
le résultat; le nom du champ sera séparé par le même caractère que le champ
valeurs. Par défaut à n.
séparateur=/t|/s|Définissez le caractère de séparation à utiliser pour les champs. Si /t languette
sera utilisé (c'est la valeur par défaut), si /s, un seul espace sera utilisé. Sinon tout
caractère qui peut être accepté par la ligne de commande dans le cadre de l'option peut être utilisé.
occurrence=f|l|a Sélectionnez l'occurrence à utiliser pour les champs qui ont plusieurs
occurrences. Si f la première occurrence sera utilisée, si l la dernière occurrence sera
utilisé et si a toutes les occurrences seront utilisées (c'est la valeur par défaut).
agrégateur=,|/s|Définissez le caractère d'agrégation à utiliser pour les champs qui ont
occurrences multiples. Si , une virgule sera utilisée (c'est la valeur par défaut), si /s, un
un seul espace sera utilisé. Sinon, tout caractère pouvant être accepté par le
ligne de commande dans le cadre de l'option peut être utilisée.
citation=d|s|n Définissez le caractère de guillemet à utiliser pour entourer les champs. d utilise des guillemets doubles,
s Guillemets simples, n pas de guillemets (par défaut).
-F
Définissez l'expression du filtre de capture.
Cette option peut se produire plusieurs fois. S'il est utilisé avant la première occurrence du -i
option, il définit l'expression de filtre de capture par défaut. S'il est utilisé après une -i option, il
définit l'expression du filtre de capture pour l'interface spécifiée par le dernier -i option
survenant avant cette option. Si l'expression du filtre de capture n'est pas définie
en particulier, l'expression de filtre de capture par défaut est utilisée si elle est fournie.
-F
Définissez le format de fichier du fichier de capture de sortie écrit à l'aide de la -w option. La
sortie écrite avec le -w l'option est des données de paquets brutes, pas du texte, donc il n'y a pas -F
option pour demander la sortie de texte. L'option -F sans valeur listera les disponibles
formats.
-g Cette option provoque la création du ou des fichiers de sortie avec une autorisation de lecture de groupe
(ce qui signifie que les fichiers de sortie peuvent être lus par d'autres membres de l'utilisateur appelant
groupe).
-G [ ]
Le -G l'option entraînera tshark pour vider l'un des nombreux types de glossaires, puis
sortir. Si aucun type de glossaire spécifique n'est spécifié, le des champs le rapport sera
généré par défaut.
Les types de rapports disponibles incluent :
formats-colonnes Vide les formats de colonne compris par tshark. Il y a un enregistrement par
ligne. Les champs sont délimités par des tabulations.
* Champ 1 = chaîne de format (par exemple "%rD")
* Champ 2 = description textuelle de la chaîne de format (par exemple "Dest port (résolu)")
préférences actuelles Vide une copie du fichier de préférences actuel sur stdout.
décodages Vide les associations "type de couche"/"décoder en tant que" vers stdout. Il existe une
enregistrement par ligne. Les champs sont délimités par des tabulations.
* Champ 1 = type de couche, par exemple "tcp.port"
* Champ 2 = sélecteur en décimal
* Champ 3 = nom "decode as", par exemple "http"
préférences par défaut Vide un fichier de préférences par défaut sur stdout.
tables-dissecteurs Vide une liste de tables de dissecteur sur stdout. Il y a un enregistrement par
ligne. Les champs sont délimités par des tabulations.
* Champ 1 = nom de la table dissecteur, par exemple "tcp.port"
* Champ 2 = nom utilisé pour la table dissecteur dans l'interface graphique
* Champ 3 = type (représentation textuelle du type ftenum)
* Champ 4 = base d'affichage (pour les types entiers)
nombre de champs Vide le nombre de champs d'en-tête vers stdout.
des champs Vide le contenu de la base de données d'enregistrement sur stdout. Un indépendant
Le programme peut prendre cette sortie et la formater dans de jolis tableaux ou HTML ou autre.
Il y a un enregistrement par ligne. Chaque enregistrement est soit un protocole, soit un champ d'en-tête,
différenciée par le premier champ. Les champs sont délimités par des tabulations.
* Protocoles
* ---------
* Champ 1 = 'P'
* Champ 2 = nom descriptif du protocole
* Champ 3 = abréviation du protocole
*
* Champs d'en-tête
* -------------
* Champ 1 = 'F'
* Champ 2 = nom du champ descriptif
* Champ 3 = abréviation du champ
* Champ 4 = type (représentation textuelle du type ftenum)
* Champ 5 = abréviation du protocole parent
* Champ 6 = base d'affichage (pour les types entiers) ; "largeur du champ de bits parent" pour FT_BOOLEAN
* Champ 7 = masque de bits : format : hexadécimal : 0x....
* Champ 8 = champ décrivant le texte de présentation
types Vide les "ftypes" (types fondamentaux) compris par tshark. Il existe une
enregistrement par ligne. Les champs sont délimités par des tabulations.
* Champ 1 = FTYPE (par exemple "FT_IPv6")
* Champ 2 = description textuelle du type (par exemple "Adresse IPv6")
heuristique-decodes Vide les décodages heuristiques actuellement installés. Il existe une
enregistrement par ligne. Les champs sont délimités par des tabulations.
* Champ 1 = dissecteur sous-jacent (par exemple "tcp")
* Champ 2 = nom du décodeur heuristique (par exemple ucp")
* Champ 3 = heuristique activée (par exemple "T" ou "F")
plugins Vide les plugins actuellement installés. Il y a un enregistrement par ligne. Les
les champs sont délimités par des tabulations.
* Champ 1 = bibliothèque de plugins (par exemple "gryphon.so")
* Champ 2 = version du plugin (ex. 0.0.4)
* Champ 3 = type de plugin (par exemple "dissecteur" ou "tap")
* Champ 4 = chemin complet vers le fichier du plugin
protocoles Vide les protocoles de la base de données d'enregistrement sur stdout. Un indépendant
Le programme peut prendre cette sortie et la formater dans de jolis tableaux ou HTML ou autre.
Il y a un enregistrement par ligne. Les champs sont délimités par des tabulations.
* Champ 1 = nom du protocole
* Champ 2 = nom abrégé du protocole
* Champ 3 = nom du filtre de protocole
valeurs Vide les value_strings, range_strings ou les chaînes true/false pour les champs qui
les avoir. Il y a un enregistrement par ligne. Les champs sont délimités par des tabulations. Il ya trois
types d'enregistrements : chaîne de valeur, chaîne de plage et chaîne vrai/faux. Le premier champ,
'V', 'R' ou 'T', indique le type d'enregistrement.
* Chaînes de valeur
* -------------
* Champ 1 = 'V'
* Champ 2 = abréviation du champ auquel correspond cette chaîne de valeur
* Champ 3 = Valeur entière
* Champ 4 = Chaîne
*
* Chaînes de gamme
* -------------
* Champ 1 = 'R'
* Champ 2 = abréviation du champ auquel correspond cette chaîne de plage
* Champ 3 = Valeur entière : borne inférieure
* Champ 4 = Valeur entière : borne supérieure
* Champ 5 = Chaîne
*
* Chaînes Vrai/Faux
*------------------
* Champ 1 = 'T'
* Champ 2 = abréviation du champ auquel correspond cette chaîne vrai/faux
* Champ 3 = Vraie chaîne
* Champ 4 = fausse chaîne
-h Affiche la version et les options et quitte.
-H
Lire une liste d'entrées à partir d'un fichier "hosts", qui sera ensuite écrite dans une capture
déposer. Implique -W n. Peut être appelé plusieurs fois.
Le format de fichier "hosts" est documenté surhttp://en.wikipedia.org/wiki/Hosts_(fichier)>.
-je | -
Définissez le nom de l'interface réseau ou du canal à utiliser pour la capture de paquets en direct.
Les noms d'interface réseau doivent correspondre à l'un des noms répertoriés dans "Tshark -D" (décrit
dessus); un nombre, tel que rapporté par "Tshark -D", peut également être utilisé. Si vous utilisez UNIX,
"netstat -i"Ou"i -a" peut également fonctionner pour répertorier les noms d'interface, mais pas
toutes les versions d'UNIX prennent en charge le -a Option de i.
Si aucune interface n'est spécifiée, Requin recherche dans la liste des interfaces, en choisissant le
première interface sans bouclage s'il y a des interfaces sans bouclage, et en choisissant
la première interface de bouclage s'il n'y a pas d'interfaces sans bouclage. S'il n'y a pas
des interfaces du tout, Requin signale une erreur et ne démarre pas la capture.
Les noms de canal doivent être soit le nom d'un FIFO (canal nommé) ou ``-'' pour lire les données à partir de
l'entrée standard. Les données lues à partir des canaux doivent être au format pcap standard.
Cette option peut se produire plusieurs fois. Lors de la capture à partir de plusieurs interfaces, le
Le fichier de capture sera enregistré au format pcap-ng.
Remarque : la version Win32 de Requin ne prend pas en charge la capture à partir de tuyaux !
-Je mets l'interface en "mode moniteur"; ceci est pris en charge uniquement sur le Wi-Fi IEEE 802.11
interfaces et pris en charge uniquement sur certains systèmes d'exploitation.
Notez qu'en mode moniteur, l'adaptateur peut se dissocier du réseau avec lequel
il est associé, de sorte que vous ne pourrez utiliser aucun réseau sans fil avec cela
adaptateur. Cela pourrait empêcher l'accès aux fichiers sur un serveur réseau ou la résolution de l'hôte
noms ou adresses réseau, si vous capturez en mode moniteur et n'êtes pas connecté
à un autre réseau avec un autre adaptateur.
Cette option peut se produire plusieurs fois. S'il est utilisé avant la première occurrence du -i
option, il active le mode moniteur pour toutes les interfaces. S'il est utilisé après une -i option,
il active le mode moniteur pour l'interface spécifiée par le dernier -i option
survenant avant cette option.
-K
Chargez les clés de chiffrement Kerberos à partir du fichier keytab spécifié. Cette option peut être utilisée
plusieurs fois pour charger les clés de plusieurs fichiers.
Exemple : -K krb5.keytab
-l Vide la sortie standard après l'impression des informations pour chaque paquet. (C'est
pas, à proprement parler, tamponné en ligne si -V a été spécifié ; cependant, c'est la même chose que
tampon de ligne si -V n'a pas été spécifié, car une seule ligne est imprimée pour chaque paquet,
et comme -l est normalement utilisé lors de la transmission d'une capture en direct vers un programme ou un script, de sorte que
la sortie d'un paquet apparaît dès que le paquet est vu et disséqué, il devrait
fonctionnent aussi bien qu'un véritable tampon de ligne. Nous faisons cela comme solution de contournement pour une déficience
dans la bibliothèque Microsoft Visual C++ C.)
Cela peut être utile lors de la canalisation de la sortie de Requin à un autre programme, car cela signifie
que le programme auquel la sortie est redirigée verra les données disséquées pour un paquet
aussitôt que Requin voit le paquet et génère cette sortie, plutôt que de le voir
uniquement lorsque le tampon de sortie standard contenant ces données se remplit.
-L Répertorier les types de liaisons de données pris en charge par l'interface et quitter. Les types de liens signalés
peut être utilisé pour le -y option.
-n Désactiver la résolution des noms d'objets réseau (tels que les noms d'hôte, les noms de port TCP et UDP) ; les
-N flag peut remplacer celui-ci.
-N
Activez la résolution de noms uniquement pour des types particuliers d'adresses et de numéros de port, avec
la résolution de nom pour d'autres types d'adresses et de numéros de port est désactivée. Ce drapeau
remplacements -n si les deux -N et -n sont présents. Si les deux -N et -n les drapeaux ne sont pas présents,
toutes les résolutions de noms sont activées.
L'argument est une chaîne qui peut contenir les lettres :
C pour activer les recherches DNS simultanées (asynchrones)
d pour activer la résolution des paquets DNS capturés
m pour activer la résolution d'adresse MAC
n pour activer la résolution d'adresse réseau
N pour permettre l'utilisation de résolveurs externes (par exemple, DNS) pour la résolution d'adresses réseau
t pour activer la résolution du numéro de port de la couche transport
-o :
Définissez une valeur de préférence, remplaçant la valeur par défaut et toute valeur lue à partir d'un
fichier de préférences. L'argument de l'option est une chaîne de la forme nompréf:valeur,
où nompréf est le nom de la préférence (qui est le même nom qui apparaîtrait
dans le fichier de préférences), et valeur est la valeur à laquelle il doit être réglé.
-O
Semblable à la -V option, mais provoque Requin pour n'afficher qu'une vue détaillée de la virgule
liste séparée de protocoles spécifié, plutôt qu'une vue détaillée de tous les protocoles.
Utilisez la sortie de "Tshark -G protocoles" pour trouver les abréviations des protocoles que vous
peut préciser.
-p Ne pas mettre l'interface en mode promiscuité. Notez que l'interface peut être en
mode promiscuité pour une autre raison ; Par conséquent, -p ne peut pas être utilisé pour garantir que le
seul le trafic capturé est le trafic envoyé vers ou depuis la machine sur laquelle Requin
est en cours d'exécution, le trafic de diffusion et le trafic de multidiffusion vers les adresses reçues par ce
machine.
Cette option peut se produire plusieurs fois. S'il est utilisé avant la première occurrence du -i
option, aucune interface ne sera mise en mode promiscuité. S'il est utilisé après une -i
option, l'interface spécifiée par le dernier -i option survenant avant cette option
ne sera pas mis en mode promiscuité.
-P Décode et affiche le résumé du paquet, même si vous écrivez des données de paquet brutes à l'aide du -w
option.
-q Lors de la capture de paquets, n'affiche pas le nombre continu de paquets capturés qui est
normalement affiché lors de l'enregistrement d'une capture dans un fichier ; à la place, affichez simplement, à la fin de
la capture, un nombre de paquets capturés. Sur les systèmes prenant en charge le signal SIGINFO,
tels que divers BSD, vous pouvez afficher le nombre actuel en tapant votre
caractère « état » (généralement contrôle-T, bien qu'il puisse être défini sur « désactivé » par
par défaut sur au moins certains BSD, vous devrez donc le définir explicitement pour l'utiliser).
Lors de la lecture d'un fichier de capture, ou lors de la capture et non de l'enregistrement dans un fichier, n'imprimez pas
informations sur les paquets ; c'est utile si vous utilisez un -z possibilité de calculer des statistiques
et je ne veux pas que les informations sur les paquets soient imprimées, juste les statistiques.
-Q Lors de la capture de paquets, n'affiche que les vraies erreurs. Cela produit moins que le -q
option, de sorte que le nom de l'interface et le nombre total de paquets et la fin d'une capture ne sont pas
envoyé à stderr.
-r
Lire les données de paquets à partir de dans le fichier, peut être n'importe quel format de fichier de capture pris en charge (y compris
fichiers gzippés). Il est possible d'utiliser des tubes nommés ou stdin (-) ici mais uniquement avec
certains formats de fichiers de capture (non compressés) (en particulier : ceux qui peuvent être lus
sans chercher en arrière).
-R
Cause le filtre spécifié (qui utilise la syntaxe des filtres de lecture/affichage, plutôt que
celui des filtres de capture) à appliquer lors de la première passe d'analyse. Paquets non
correspondant au filtre ne sont pas pris en compte pour les passages futurs. n'a de sens qu'avec
passes multiples, voir -2. Pour un filtrage régulier sur une dissection en un seul passage, voir -Y à la place.
Notez que les champs prospectifs tels que « réponse dans le cadre # » ne peuvent pas être utilisés avec
ce filtre, car ils n'auront pas été calculés lors de l'application de ce filtre.
-s
Définissez la longueur d'instantané par défaut à utiliser lors de la capture de données en direct. Pas plus que Snaplen
octets de chaque paquet réseau seront lus en mémoire ou enregistrés sur le disque. Une valeur de 0
spécifie une longueur d'instantané de 65535, de sorte que le paquet complet soit capturé ; c'est le
défaut.
Cette option peut se produire plusieurs fois. S'il est utilisé avant la première occurrence du -i
option, il définit la longueur d'instantané par défaut. S'il est utilisé après une -i option, il définit le
longueur d'instantané pour l'interface spécifiée par le dernier -i option survenant avant
cette option. Si la longueur de l'instantané n'est pas définie spécifiquement, l'instantané par défaut
la longueur est utilisée si elle est fournie.
-S
Définissez le séparateur de ligne à imprimer entre les paquets.
-ta|ad|adoy|d|dd|e|r|u|ud|udoy
Définissez le format de l'horodatage du paquet imprimé dans les lignes récapitulatives. Le format peut être
un des:
a absolue : l'heure absolue, en tant qu'heure locale de votre fuseau horaire, est l'heure réelle à laquelle
le paquet a été capturé, sans date affichée
ad absolue avec date : la date absolue, affichée au format AAAA-MM-JJ, et l'heure, au format local
l'heure dans votre fuseau horaire, est l'heure et la date réelles de capture du paquet
adieu absolue avec date utilisant le jour de l'année : la date absolue, affichée sous la forme AAAA/JAN,
et l'heure, comme l'heure locale dans votre fuseau horaire, est l'heure et la date réelles du paquet
capturé
d delta : le temps delta est le temps écoulé depuis que le paquet précédent a été capturé
dd delta_displayed : le temps delta_displayed est le temps écoulé depuis l'affichage précédent
le paquet a été capturé
e époque : le temps en secondes depuis l'époque (1 janvier 1970 à 00:00:00)
r relatif : Le temps relatif est le temps écoulé entre le premier paquet et le
paquet actuel
u UTC : l'heure absolue, en tant qu'UTC, est l'heure réelle à laquelle le paquet a été capturé, sans
date affichée
ud UTC avec date : la date absolue, affichée sous la forme AAAA-MM-JJ, et l'heure, sous la forme UTC, est le
heure et date réelles auxquelles le paquet a été capturé
idiot UTC avec date utilisant le jour de l'année : la date absolue, affichée sous la forme AAAA/JOY, et
l'heure, en tant qu'UTC, est l'heure et la date réelles auxquelles le paquet a été capturé
Le format par défaut est relatif.
-T champs|pdml|ps|psml|texte
Définissez le format de la sortie lors de l'affichage des données de paquets décodées. Les options sont une
de:
des champs Les valeurs des champs spécifiés avec le -e option, sous une forme spécifiée par le
-E option. Par example,
-T champs -E séparateur=, -E citation=d
générerait une sortie de valeurs séparées par des virgules (CSV) adaptée à l'importation dans votre
tableur préféré.
pdml Packet Details Markup Language, un format basé sur XML pour les détails d'un
paquet. Ces informations sont équivalentes aux détails du paquet imprimés avec le -V
drapeau.
ps PostScript pour un résumé d'une ligne lisible par l'homme de chacun des paquets, ou un
vue multi-lignes du détail de chacun des paquets, selon que le -V
drapeau a été spécifié.
psml Packet Summary Markup Language, un format basé sur XML pour les informations récapitulatives
d'un paquet décodé. Cette information est équivalente à l'information indiquée dans le
résumé d'une ligne imprimé par défaut.
texte Texte d'un résumé d'une ligne lisible par l'homme de chacun des paquets, ou d'un
vue du détail de chacun des paquets, selon que le -V le drapeau était
spécifié. C'est la valeur par défaut.
-u
Spécifie le type de secondes. Les choix valides sont :
s pendant des secondes
HMS pendant heures, minutes et secondes
-v Affiche la version et quitte.
-V cause Requin pour imprimer une vue des détails du paquet.
-w | -
Écrire des données de paquets brutes dans fichier de sortie ou à la sortie standard si fichier de sortie est '-'.
REMARQUE : -w fournit des données de paquets brutes, pas du texte. Si vous voulez une sortie de texte, vous devez
rediriger stdout (par exemple en utilisant '>'), n'utilisez pas le -w option pour cela.
-W
Enregistrez des informations supplémentaires dans le fichier si le format le prend en charge. Par exemple,
-F pcapng -Wn
enregistrera les enregistrements de résolution de nom d'hôte avec les paquets capturés.
Les futures versions de Wireshark peuvent changer automatiquement le format de capture pour pcapng as
nécessaire.
L'argument est une chaîne qui peut contenir la lettre suivante :
n écrire les informations de résolution d'adresse réseau (pcapng uniquement)
-x cause Requin pour imprimer un vidage hexadécimal et ASCII des données du paquet après l'impression du
résumé et/ou détails, si l'un ou l'autre sont également affichés.
-X
Spécifiez une option à transmettre à un Requin module. L'option d'extension est dans le
un formulaire de candidature dûment rempli clé_extension:valeur, Où clé_extension peut être:
lua_script:lua_script_filename raconte Requin pour charger le script donné en plus de
les scripts Lua par défaut.
lua_scriptnum:argument raconte Requin passer l'argument donné au script lua
identifié par 'num', qui est l'ordre d'indexation des nombres de la commande 'lua_script'.
Par exemple, si un seul script a été chargé avec '-X lua_script:my.lua', alors '-X
lua_script1:foo' passera la chaîne 'foo' au script 'my.lua'. Si deux scripts
ont été chargés, tels que '-X lua_script:my.lua' et '-X lua_script:other.lua' dans ce
commande, alors un '-X lua_script2:bar' passerait la chaîne 'bar' au deuxième lua
script, à savoir 'autre.lua'.
format_lecture:format de fichier raconte Requin utiliser le format de fichier donné pour lire dans le fichier
(le fichier fourni dans le -r option de commande). Fournir non format de fichier argument, ou un
invalide, produira un fichier des formats de fichiers disponibles à utiliser.
-y
Définissez le type de liaison de données à utiliser lors de la capture de paquets. Les valeurs rapportées par -L sommes-nous
les valeurs qui peuvent être utilisées.
Cette option peut se produire plusieurs fois. S'il est utilisé avant la première occurrence du -i
option, il définit le type de lien de capture par défaut. S'il est utilisé après une -i option, il définit
le type de lien de capture pour l'interface spécifié par le dernier -i option survenant
avant cette option. Si le type de lien de capture n'est pas défini spécifiquement, la valeur par défaut
Le type de lien de capture est utilisé s'il est fourni.
-O
Cause le filtre spécifié (qui utilise la syntaxe des filtres de lecture/affichage, plutôt que
celui des filtres de capture) à appliquer avant l'impression d'une forme décodée de paquets ou
écrire des paquets dans un fichier. Les paquets correspondant au filtre sont imprimés ou écrits dans
déposer; les paquets dont dépendent les paquets correspondants (par exemple, des fragments), ne sont pas imprimés
mais sont écrits dans un fichier ; les paquets ne correspondant pas au filtre ni dépendants sont
jetés plutôt que d'être imprimés ou écrits.
Utilisez ceci au lieu de -R pour filtrer à l'aide d'une analyse en un seul passage. Si vous faites deux passes
analyse (voir -2) alors seuls les paquets correspondant au filtre de lecture (s'il y en a un) seront
vérifié par rapport à ce filtre.
-z
Obtenez Requin pour collecter différents types de statistiques et afficher le résultat après
terminer la lecture du fichier de capture. Utilisez le -q signaler si vous lisez un fichier de capture
et ne veulent que les statistiques imprimées, pas d'informations par paquet.
Notez que le -z proto l'option est différente - elle n'entraîne pas la création de statistiques
rassemblé et imprimé lorsque la capture est terminée, il modifie le paquet régulier
sortie récapitulative pour inclure les valeurs des champs spécifiés avec l'option. Par conséquent
vous ne devez pas utiliser le -q option, car cette option supprimerait l'impression du
sortie de résumé de paquet régulière, et ne doit pas non plus utiliser le -V option, car cela
provoquer l'impression des informations détaillées sur les paquets plutôt que des informations récapitulatives sur les paquets.
Les statistiques actuellement mises en œuvre sont :
-z vous aider
Afficher toutes les valeurs possibles pour -z.
-z afp,srt[,une fonction filtre]
Afficher les statistiques de temps de réponse du service Apple Filing Protocol.
-z chameau, srt
-z comparer,Commencer,Arrêtez,ttl[0|1],commande[0|1],variance[,une fonction filtre]
Si l'optionnel une fonction filtre est spécifié, seuls les paquets qui correspondent au filtre seront
être utilisé dans les calculs.
-z conversation,type[,une fonction filtre]
Créez un tableau répertoriant toutes les conversations pouvant être vues dans la capture.
type spécifie les types de points de terminaison de conversation pour lesquels nous voulons générer le
statistiques; actuellement ceux pris en charge sont:
adresses Bluetooth « bluetooth »
"eth" adresses Ethernet
Adresses Fibre Channel "fc"
Adresses FDDI "fddi"
adresses IPv4 « ip »
Adresses IPv6 « ipv6 »
"ipx" adresses IPX
Adresses de message JXTA "jxta"
Connexions NCP "ncp"
Connexions RSVP « rsvp »
Adresses SCTP "sctp"
Paires de sockets TCP/IP "tcp" IPv4 et IPv6 sont pris en charge
"tr" adresses Token Ring
adresses USB "usb"
"udp" paires de sockets UDP/IP IPv4 et IPv6 sont pris en charge
adresses IEEE 802.11 « wlan »
Si l'optionnel une fonction filtre est spécifié, seuls les paquets qui correspondent au filtre seront
être utilisé dans les calculs.
Le tableau est présenté avec une ligne pour chaque conversation et affiche le numéro
de paquets/octets dans chaque direction ainsi que le nombre total de paquets/octets.
Le tableau est trié en fonction du nombre total d'images.
-z dcerpc, srt,uuid,majeur.mineur[,une fonction filtre]
Collecter les données d'appel/réponse SRT (Service Response Time) pour l'interface DCERPC uuid,
version majeur.mineur. Les données collectées sont le nombre d'appels pour chaque procédure,
MinSRT, MaxSRT et AvgSRT.
Exemple : -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0 collectera des données
pour l'interface CIFS SAMR.
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
Si l'optionnel une fonction filtre est fourni, les statistiques ne seront calculées que sur ceux
appels qui correspondent à ce filtre.
Exemple : -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0,ip.addr==1.2.3.4
collectera les statistiques SAMR SRT pour un hôte spécifique.
-z bootp,stat[,une fonction filtre]
Afficher les statistiques DHCP (BOOTP).
-z diamètre,avp[,cmd.code,champ,champ,...]
Cette option permet d'extraire les champs de diamètre les plus importants de grands
capturer des fichiers. Exactement une ligne de texte pour chaque message de diamètre avec correspondance
diamètre.cmd.code sera imprimé.
Le code de commande de diamètre vide ou '*' peut être spécifié pour diamètre.cmd.code
Exemple : -z diamètre, avp extraire l'ensemble de champs par défaut des messages de diamètre.
Exemple : -z diamètre, avp, 280 extraire l'ensemble de champs par défaut du diamètre DWR
des messages.
Exemple : -z diamètre, avp, 272 extraire l'ensemble de champs par défaut des messages de diamètre CC.
Extraire les champs les plus importants des messages de diamètre CC :
Tshark -r fichier.cap.gz -q -z
diamètre, avp, 272, CC-Request-Type, CC-Request-Number, Session-Id, Subscription-Id-Data, Rating-Group, Result-Code
Les champs suivants seront imprimés pour chaque message de diamètre :
"cadre" Numéro de cadre.
"time" Heure Unix d'arrivée de la trame.
"src" Adresse source.
"srcport" Port source.
"dst" Adresse de destination.
"dstport" Port de destination.
"proto" Chaîne constante "diamètre", qui peut être utilisée pour le post-traitement de la sortie tshark. Par exemple grep/sed/awk.
"msgnr" seq. nombre de message de diamètre dans le cadre. Par exemple '2' pour le message de troisième diamètre dans le même cadre.
"is_request" '0' si le message est une requête, '1' si le message est une réponse.
"cmd" diamètre.cmd_code, par exemple '272' pour les messages de contrôle de crédit.
"req_frame" Numéro de la trame où la demande correspondante a été trouvée ou '0'.
"ans_frame" Numéro de la trame où la réponse correspondante a été trouvée ou '0'.
"resp_time" temps de réponse en secondes, '0' au cas où la demande/réponse correspondante ne serait pas trouvée dans la trace. Par exemple au début ou à la fin de la capture.
-z diamètre, avp l'option est beaucoup plus rapide que -V -T texte or -T pdml options.
-z diamètre, avp l'option est plus puissante que -T champ et -z proto, colinfo
options.
Les messages de diamètres multiples dans un même cadre sont pris en charge.
Plusieurs champs avec le même nom dans un message de diamètre sont pris en charge, par exemple
diamètre.Subscription-Id-Data or diamètre.Rating-Group.
Remarque: Tshark -q l'option est recommandée pour supprimer la valeur par défaut Tshark sortie.
-z DNS,arbre[,une fonction filtre]
Créez un résumé des paquets DNS capturés. Les informations générales sont collectées
telles que la distribution qtype et qclass. Pour certaines données (comme la longueur de qname ou DNS
payload) les valeurs max, min et moyenne sont également affichées.
-z points de terminaison,type[,une fonction filtre]
Créez une table qui répertorie tous les points de terminaison qui pourraient être vus dans la capture. type
spécifie les types de points de terminaison pour lesquels nous voulons générer les statistiques ;
actuellement ceux pris en charge sont:
adresses Bluetooth « bluetooth »
"eth" adresses Ethernet
Adresses Fibre Channel "fc"
Adresses FDDI "fddi"
adresses IPv4 « ip »
Adresses IPv6 « ipv6 »
"ipx" adresses IPX
Adresses de message JXTA "jxta"
Connexions NCP "ncp"
Connexions RSVP « rsvp »
Adresses SCTP "sctp"
Paires de sockets TCP/IP "tcp" IPv4 et IPv6 sont pris en charge
"tr" adresses Token Ring
adresses USB "usb"
"udp" paires de sockets UDP/IP IPv4 et IPv6 sont pris en charge
adresses IEEE 802.11 « wlan »
Si l'optionnel une fonction filtre est spécifié, seuls les paquets qui correspondent au filtre seront
être utilisé dans les calculs.
Le tableau est présenté avec une ligne pour chaque conversation et affiche le numéro
de paquets/octets dans chaque direction ainsi que le nombre total de paquets/octets.
Le tableau est trié en fonction du nombre total d'images.
-z expert[,erreur|,avertir|,note|,chat][,filtre]
Collecte des informations sur toutes les informations d'experts et les affiche dans l'ordre,
regroupés par gravité.
Exemple : -z expert, siroter affichera les éléments experts de toute gravité pour les trames qui
correspondent au protocole sip.
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
Si l'optionnel une fonction filtre est fourni, les statistiques ne seront calculées que sur ceux
appels qui correspondent à ce filtre.
Exemple : -z "expert, note, tcp" ne collectera que des objets experts pour les cadres qui
inclure le protocole tcp, avec une sévérité de note ou plus.
-z suivre,protéger,mode,une fonction filtre[,gamme]
Affiche le contenu d'un flux TCP ou UDP entre deux nœuds. Les données envoyées par
le deuxième nœud est préfixé d'une tabulation pour le différencier des données envoyées par
le premier nœud.
protéger spécifie le protocole de transport. Il peut s'agir de l'un des éléments suivants :
TCP TCP
UDP UDP
SSL SSL
mode spécifie le mode de sortie. Il peut s'agir de l'un des éléments suivants :
sortie ASCII ASCII avec des points pour les caractères non imprimables
ebcdic Sortie EBCDIC avec des points pour les caractères non imprimables
hex Données hexadécimales et ASCII avec décalages
données hexadécimales brutes
Depuis la sortie en ascii or ebcdique mode peut contenir des sauts de ligne, la longueur de chaque
section de sortie plus une nouvelle ligne précède chaque section de sortie.
une fonction filtre spécifie le flux à afficher. Les flux UDP/TCP sont sélectionnés avec
soit l'index de flux, soit l'adresse IP plus les paires de ports. Les flux SSL sont sélectionnés
avec l'indice de flux. Par exemple:
adresse-ip0 :port0, adresse-ip1 :port1
index-flux
gamme spécifie éventuellement quels « morceaux » du flux doivent être affichés.
Exemple : -z "suivre,tcp,hex,1" affichera le contenu du premier flux TCP
au format "hexadécimal".
================================================== =================
Suivre : tcp, hexadécimal
Filtre : tcp.stream eq 1
Nœud 0 : 200.57.7.197 : 32891
Nœud 1 : 200.57.7.198 : 2906
00000000 00 00 00 22 00 00 00 07 00 0a 85 02 07 e9 00 02 ...".... ........
00000010 07 e9 06 0f 00 0d 00 04 00 00 00 01 00 03 00 06 ........ ........
00000020 1f 00 06 04 00 00 ......
00000000 00 01 00 00 ....
00000026 00 02 00 00
Exemple : -z "suivre,tcp,ascii,200.57.7.197:32891,200.57.7.198:2906" Affichera
le contenu d'un flux TCP entre le port 200.57.7.197 32891 et le port 200.57.7.98
2906.
================================================== =================
Suivre : tcp, ascii
Filtre : (omis pour plus de lisibilité)
Nœud 0 : 200.57.7.197 : 32891
Nœud 1 : 200.57.7.198 : 2906
38
...".....
................
4
....
-z h225,comptoir[,filtre]
Comptez les messages UIT-T H.225 et leurs raisons. Dans la première colonne, vous obtenez une liste
des messages H.225 et des motifs de message H.225, qui se produisent dans la capture actuelle
déposer. Le nombre d'occurrences de chaque message ou motif est affiché dans le
deuxième colonne.
Exemple : -z h225,comptoir.
Si l'optionnel une fonction filtre est fourni, les statistiques ne seront calculées que sur ceux
appels qui correspondent à ce filtre. Exemple : utiliser -z "h225,compteur,ip.addr==1.2.3.4" à
collecter uniquement les statistiques des paquets H.225 échangés par l'hôte à l'adresse IP 1.2.3.4 .
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
-z h225,srt[,filtre]
Collectez les données SRT (temps de réponse du service) des requêtes/réponses pour ITU-T H.225 RAS.
Les données collectées sont le nombre d'appels de chaque type de message RAS UIT-T H.225, minimum
SRT, SRT maximum, SRT moyen, Minimum en paquet et Maximum en paquet. Vous serez
obtenez également le nombre de demandes ouvertes (demandes non répondues), de réponses rejetées
(Réponses sans demande correspondante) et Messages en double.
Exemple : -z h225,srt
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
Si l'optionnel une fonction filtre est fourni, les statistiques ne seront calculées que sur ceux
appels qui correspondent à ce filtre.
Exemple : -z "h225,srt,ip.addr==1.2.3.4" collectera uniquement des statistiques pour ITU-T H.225
Paquets RAS échangés par l'hôte à l'adresse IP 1.2.3.4.
-z hôtes[,ipv4][,ipv6]
Videz toutes les adresses IPv4 et/ou IPv6 collectées au format « hôtes ». IPv4 et
Les adresses IPv6 sont vidées par défaut.
Les adresses sont collectées à partir d'un certain nombre de sources, y compris les fichiers « hôtes » standard
et le trafic capturé.
-z hpfeeds,arbre[,une fonction filtre]
Calculer les statistiques du trafic HPFEEDS telles que la publication par canal et l'opcode
distribution.
-z http,statistiques,
Calculez la distribution des statistiques HTTP. Les valeurs affichées sont le statut HTTP
codes et les méthodes de requête HTTP.
-z http,arbre
Calculez la distribution des paquets HTTP. Les valeurs affichées sont la requête HTTP
modes et les codes d'état HTTP.
-z http_req,arborescence
Calculez les requêtes HTTP par serveur. Les valeurs affichées sont le nom du serveur et
le chemin d'URI.
-z http_srv,arbre
Calculez les requêtes et réponses HTTP par serveur. Pour les requêtes HTTP,
les valeurs affichées sont l'adresse IP et le nom d'hôte du serveur. Pour le HTTP
réponses, les valeurs affichées sont l'adresse IP et l'état du serveur.
-z icmp,srt[,une fonction filtre]
Calculez le nombre total de requêtes d'écho ICMP, de réponses, de perte et de pourcentage de perte, ainsi que
Statistiques SRT minimum, maximum, moyenne, médiane et écart type de l'échantillon
typique de ce que ping fournit.
Exemple : -z icmp,srt,ip.src==1.2.3.4 collectera les statistiques ICMP SRT pour ICMP
paquets de demande d'écho provenant d'un hôte spécifique.
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
-z icmpv6,srt[,une fonction filtre]
Calculez le nombre total de demandes d'écho ICMPv6, de réponses, de perte et de pourcentage de perte, ainsi que
Statistiques SRT minimum, maximum, moyenne, médiane et écart type de l'échantillon
typique de ce que ping fournit.
Exemple : -z icmpv6,srt,ipv6.src==fe80::1 collectera les statistiques ICMPv6 SRT pour
Paquets de requête d'écho ICMPv6 provenant d'un hôte spécifique.
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
-z io,phs[,une fonction filtre]
Créez des statistiques de hiérarchie de protocole répertoriant à la fois le nombre de paquets et d'octets. Si
aucune une fonction filtre est spécifié, les statistiques seront calculées pour tous les paquets. Si un
une fonction filtre est spécifié, les statistiques ne seront calculées que pour les paquets qui
correspond au filtre.
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
-z io,stat,intervalle[,une fonction filtre][,une fonction filtre][,une fonction filtre] ...
Collectez les statistiques de paquets/octets pour la capture à des intervalles de intervalle secondes.
l'intervalle peut être spécifié en entier ou en fraction de seconde et peut être
spécifié avec une résolution de la microseconde (us). Si intervalle est 0, les statistiques
être calculé sur tous les paquets.
Sinon une fonction filtre est spécifié, les statistiques seront calculées pour tous les paquets. Si
un ou plus filtres sont spécifiés, les statistiques seront calculées pour tous les filtres
et présenté avec une colonne de statistiques pour chaque filtre.
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
Exemple : -z io,stat,1,ip.addr==1.2.3.4 générera 1 seconde de statistiques pour tous
trafic vers/depuis l'hôte 1.2.3.4.
Exemple : -z "io,stat,0.001,smb&&ip.addr==1.2.3.4" générera des statistiques de 1 ms pour
tous les paquets SMB vers/depuis l'hôte 1.2.3.4.
Les exemples ci-dessus utilisent tous la syntaxe standard pour générer des statistiques qui
calcule uniquement le nombre de paquets et d'octets dans chaque intervalle.
io, statistique peut aussi faire beaucoup plus de statistiques et calculer COMPTER(), SOMME(), MIN(),
MAX (), AVG () et CHARGE() en utilisant une syntaxe de filtre légèrement différente :
-z io,stat,intervalle,"[COUNT|SUM|MIN|MAX|AVG|LOAD](champ)une fonction filtre"
REMARQUE : Une chose importante à noter ici est que le filtre n'est pas facultatif et que
le champ sur lequel le calcul est basé DOIT faire partie de la chaîne de filtrage ou
le calcul échouera.
Alors: -z io,stat,0.010,AVG(smb.time) ne marche pas. Utilisation -z
io,stat,0.010,AVG(smb.time)smb.time au lieu. Sachez également qu'un champ peut exister
plusieurs fois dans le même paquet et sera ensuite compté plusieurs fois dans
ces paquets.
REMARQUE : Une deuxième chose importante à noter est que le paramètre système pour les décimales
le séparateur doit être défini sur "."! S'il est défini sur "," les statistiques ne seront pas
affiché par filtre.
COMPTER(champ)une fonction filtre - Calcule le nombre de fois que le champ nom (pas son
value) apparaît par intervalle dans la liste des paquets filtrés. ''champ'' peut être n'importe quel
afficher le nom du filtre.
Exemple : -z io,stat,0.010,"COUNT(smb.sid)smb.sid"
Cela comptera le nombre total de SID vus dans chaque intervalle de 10 ms.
SOMME(champ)une fonction filtre - Contrairement à COUNT, le valeurs du champ spécifié sont additionnés par
intervalle de temps. ''champ'' ne peut être qu'un entier nommé, flottant, double ou relatif
champ de temps.
Exemple : -z io,stat,0.010,"SUM(frame.len)frame.len"
Rapporte le nombre total d'octets qui ont été transmis de manière bidirectionnelle dans tous les
paquets dans un intervalle de 10 millisecondes.
MIN MAX MOY(champ)une fonction filtre - La valeur de champ minimale, maximale ou moyenne dans chaque
l'intervalle est calculé. Le champ spécifié doit être un entier nommé, float,
champ de temps double ou relatif. Pour les champs de temps relatifs, la sortie est présentée
en secondes avec six chiffres décimaux de précision arrondis au plus proche
microseconde.
Dans l'exemple suivant, l'heure du premier appel Read_AndX, le dernier Read_AndX
les valeurs de réponse sont affichées et la réponse de lecture minimale, maximale et moyenne
fois (SRT) sont calculés. REMARQUE : si la suite de la ligne de commande DOS
caractère, ''^'' est utilisé, chaque ligne ne peut pas se terminer par une virgule donc elle est placée à la
début de chaque ligne de continuation :
tshark -o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z io,stat,0,
"MIN(frame.time_relative)frame.time_relative et smb.cmd==0x2e et smb.flags.response==0",
"MAX(frame.time_relative)frame.time_relative et smb.cmd==0x2e et smb.flags.response==1",
"MIN(smb.time)smb.time et smb.cmd==0x2e",
"MAX(smb.time)smb.time et smb.cmd==0x2e",
"AVG(smb.time)smb.time et smb.cmd==0x2e"
================================================== ================================================== ==
Statistiques d'E/S
Colonne n°0 : MIN(frame.time_relative)frame.time_relative et smb.cmd==0x2e et smb.flags.response==0
Colonne 1 : MAX(frame.time_relative)frame.time_relative et smb.cmd==0x2e et smb.flags.response==1
Colonne 2 : MIN(smb.time)smb.time et smb.cmd==0x2e
Colonne n°3 : MAX(smb.time)smb.time et smb.cmd==0x2e
Colonne n° 4 : AVG(smb.time)smb.time et smb.cmd==0x2e
| Colonne #0 | Colonne #1 | Colonne #2 | Colonne #3 | Colonne #4 |
temps | MIN | MAXI | MIN | MAXI | AVG |
000.000 0.000000- 7.704054 0.000072 0.005539 0.000295 XNUMX
================================================== ================================================== ==
La commande suivante affiche la taille moyenne de PDU de réponse de lecture SMB, le total
nombre d'octets de PDU lus, la taille moyenne de PDU de demande d'écriture SMB et le total
nombre d'octets transférés dans les PDU d'écriture SMB :
tshark -n -q -r smb_reads_writes.cap -z io,stat,0,
"AVG(smb.file.rw.length)smb.file.rw.length et smb.cmd==0x2e et smb.response_to",
"SUM(smb.file.rw.length)smb.file.rw.length et smb.cmd==0x2e et smb.response_to",
"AVG(smb.file.rw.length)smb.file.rw.length et smb.cmd==0x2f et non smb.response_to",
"SUM(smb.file.rw.length)smb.file.rw.length et smb.cmd==0x2f et non smb.response_to"
============================================= =============================
Statistiques d'E/S
Colonne n°0 : AVG(smb.file.rw.length)smb.file.rw.length et smb.cmd==0x2e et smb.response_to
Colonne 1 : SUM(smb.file.rw.length)smb.file.rw.length et smb.cmd==0x2e et smb.response_to
Colonne n°2 : AVG(smb.file.rw.length)smb.file.rw.length et smb.cmd==0x2f et non smb.response_to
Colonne n°3 : SUM(smb.file.rw.length)smb.file.rw.length et smb.cmd==0x2f et non smb.response_to
| Colonne #0 | Colonne #1 | Colonne #2 | Colonne #3 |
temps | AVG | SOMME | AVG | SOMME |
000.000-30018 28067522 72 3240
============================================= =============================
CHARGE(champ)une fonction filtre - Le LOAD/Queue-Depth dans chaque intervalle est calculé. Les
le champ spécifié doit être un champ de temps relatif qui représente un temps de réponse.
Par exemple smb.time. Pour chaque intervalle, la profondeur de la file d'attente pour le
le protocole est calculé.
La commande suivante affiche la CHARGE SMB moyenne. Une valeur de 1.0 représente
une E/S en vol.
tshark -n -q -r smb_reads_writes.cap
-z "io,stat,0.001,LOAD(smb.time)smb.time"
================================================== ==========================
Statistiques d'E/S
Intervalle : 0.001000 secondes
Colonne n° 0 : CHARGER(smb.time)smb.time
| Colonne #0 |
temps | CHARGER |
0000.000000-0000.001000 1.000000
0000.001000-0000.002000 0.741000
0000.002000-0000.003000 0.000000
0000.003000-0000.004000 1.000000
CADRES | OCTETS[()une fonction filtre] - Affiche le nombre total d'images ou d'octets. Les
Le champ de filtre est facultatif mais s'il est inclus, il doit être précédé de ''()''.
La commande suivante affiche cinq colonnes : le nombre total de trames et d'octets
(transféré dans les deux sens) en utilisant une seule virgule, les deux mêmes statistiques en utilisant le
sous-commandes FRAMES et BYTES, le nombre total de trames contenant au moins une
Réponse de lecture SMB et nombre total d'octets transmis au client
(unidirectionnellement) à l'adresse IP 10.1.0.64.
tshark -o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z io,stat,0,,FRAMES,BYTES,
"FRAME()smb.cmd==0x2e et smb.response_to","BYTES()ip.dst==10.1.0.64"
============================================= ============================================= =================
Statistiques d'E/S
Colonne #0 :
Colonne #1 : CADRES
Colonne n°2 : octets
Colonne n°3 : FRAMES()smb.cmd==0x2e et smb.response_to
Colonne 4 : BYTES() ip.dst==10.1.0.64
| Colonne #0 | Colonne #1 | Colonne #2 | Colonne #3 | Colonne #4 |
temps | Cadres | Octets | CADRES | OCTETS | CADRES | OCTETS |
000.000- 33576 29721685 33576 29721685 870 29004801
============================================= ============================================= =================
-z mac-lte,stat[,filtre]
Cette option activera un compteur pour les messages LTE MAC. Tu auras
des informations sur le nombre maximum d'UE/TTI, des messages communs et divers
compteurs pour chaque UE qui apparaît dans le journal.
Exemple : -z mac-lte,stat.
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
Si l'optionnel une fonction filtre est fourni, les statistiques ne seront calculées que pour ceux
cadres qui correspondent à ce filtre. Exemple: -z "mac-lte,stat,mac-lte.rnti3000"> sera
collecter uniquement des statistiques pour les UE avec un RNTI attribué dont la valeur est supérieure à 3000.
-z mégaco,rtd[,filtre]
Collectez les données RTD (Response Time Delay) des demandes/réponses pour MEGACO. (C'est
similaire à -z qn). Les données collectées sont le nombre d'appels pour chaque
Type MEGACO, MinRTD, MaxRTD et AvgRTD. De plus, vous obtenez le nombre de
demandes/réponses en double, demandes sans réponse, réponses qui ne correspondent pas
avec toute demande. Exemple: -z mégaco,rtd.
Si l'optionnel une fonction filtre est fourni, les statistiques ne seront calculées que sur ceux
appels qui correspondent à ce filtre. Exemple: -z "megaco,rtd,ip.addr==1.2.3.4" sera seulement
collecter des statistiques pour les paquets MEGACO échangés par l'hôte à l'adresse IP 1.2.3.4 .
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
-z mgcp,rtd[,filtre]
Collectez les données RTD (Response Time Delay) des demandes/réponses pour le MGCP. (C'est
similaire à -z qn). Les données collectées sont le nombre d'appels pour chaque MGCP connu
Tapez, MinRTD, MaxRTD et AvgRTD. De plus, vous obtenez le nombre de doublons
demandes/réponses, demandes sans réponse, réponses, qui ne correspondent à aucune
demander. Exemple: -z mgcp, RTD.
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
Si l'optionnel une fonction filtre est fourni, les statistiques ne seront calculées que sur ceux
appels qui correspondent à ce filtre. Exemple: -z "mgcp,rtd,ip.addr==1.2.3.4" sera seulement
collecter des statistiques pour les paquets MGCP échangés par l'hôte à l'adresse IP 1.2.3.4.
-z proto,colinfo,une fonction filtre,champ
Tout ajouter champ valeurs du paquet dans la colonne Info du résumé d'une ligne
sortir. Cette fonctionnalité peut être utilisée pour ajouter des champs arbitraires à la colonne Info dans
en plus du contenu normal de cette colonne. champ est le nom du filtre d'affichage
d'un champ dont la valeur doit être placée dans la colonne Info. une fonction filtre est un filtre
chaîne qui contrôle pour quels paquets la valeur du champ sera présentée dans le
colonne d'informations. champ ne sera présenté que dans la colonne Info pour les paquets
qui correspond une fonction filtre.
REMARQUE : Afin de Requin pouvoir extraire le champ valeur du paquet,
champ DOIT faire partie du une fonction filtre chaîne de caractères. Si non, Requin ne sera pas capable de
extraire sa valeur.
Pour un exemple simple pour ajouter le champ "nfs.fh.hash" à la colonne Info pour tous
paquets contenant le champ "nfs.fh.hash", utilisez
-z proto,colinfo,nfs.fh.hash,nfs.fh.hash
Mettre "nfs.fh.hash" dans la colonne Info mais uniquement pour les paquets provenant de l'hôte
1.2.3.4 utilisation :
-z "proto,colinfo,nfs.fh.hash && ip.src==1.2.3.4,nfs.fh.hash"
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
-z rlc-lte,stat[,filtre]
Cette option activera un compteur pour les messages LTE RLC. Tu auras
informations sur les messages communs et divers compteurs pour chaque UE qui apparaît dans
le journal.
Exemple : -z rlc-lte,stat.
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
Si l'optionnel une fonction filtre est fourni, les statistiques ne seront calculées que pour ceux
cadres qui correspondent à ce filtre. Exemple: -z "rlc-lte,stat,rlc-lte.ueid3000"> sera
ne collectez les statistiques que pour les UE avec un UEId supérieur à 3000.
-z rpc,programmes
Collectez les données SRT d'appel/réponse pour tous les programmes/versions ONC-RPC connus. Données
collecté est le nombre d'appels pour chaque protocole/version, MinSRT, MaxSRT et AvgSRT.
Cette option ne peut être utilisée qu'une seule fois sur la ligne de commande.
-z rpc, srt,programme,version[,une fonction filtre]
Collecter les données d'appel/réponse SRT (Service Response Time) pour programme/version. date
collecté est le nombre d'appels pour chaque procédure, MinSRT, MaxSRT, AvgSRT et
le temps total pris pour chaque procédure.
Exemple : -z rpc,srt,100003,3 collectera des données pour NFS v3.
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
Si l'optionnel une fonction filtre est fourni, les statistiques ne seront calculées que sur ceux
appels qui correspondent à ce filtre.
Exemple : -z rpc,srt,100003,3,nfs.fh.hash==0x12345678 collectera NFS v3 SRT
statistiques pour un fichier spécifique.
-z rtp, flux
Collectez des statistiques pour tous les flux RTP et calculez max. delta, max. et signifie
pourcentages de gigue et de perte de paquets.
-z scsi, srt,jeu de commandes[,une fonction filtre]
Collecter les données SRT (temps de réponse du service) d'appel/réponse pour le jeu de commandes SCSI jeu de commandes.
Les jeux de commandes sont 0:SBC 1:SSC 5:MMC
Les données collectées sont le nombre d'appels pour chaque procédure, MinSRT, MaxSRT et
Moyenne SRT.
Exemple : -z scsi,srt,0 collectera des données pour les COMMANDES DE BLOC SCSI (SBC).
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
Si l'optionnel une fonction filtre est fourni, les statistiques ne seront calculées que sur ceux
appels qui correspondent à ce filtre.
Exemple : -z scsi,srt,0,ip.addr==1.2.3.4 collectera des statistiques SCSI SBC SRT pour un
hôte iscsi/ifcp/fcip spécifique.
-z siroter,stat[,filtre]
Cette option activera un compteur de messages SIP. Vous obtiendrez le nombre de
occurrences de chaque méthode SIP et de chaque code d'état SIP. De plus, vous aussi
obtenir le nombre de messages SIP renvoyés (uniquement pour SIP sur UDP).
Exemple : -z siroter, stat.
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
Si l'optionnel une fonction filtre est fourni, les statistiques ne seront calculées que sur ceux
appels qui correspondent à ce filtre. Exemple: -z "sip,stat,ip.addr==1.2.3.4" sera seulement
collecter des statistiques pour les paquets SIP échangés par l'hôte à l'adresse IP 1.2.3.4 .
-z qn,sid
Lorsque cette fonctionnalité est utilisée Requin imprimera un rapport avec tous les SID découverts
et mappages de noms de compte. Seuls les SID pour lesquels le nom du compte est connu seront
être présenté dans le tableau.
Pour que cette fonctionnalité fonctionne, vous devrez soit activer
"Modifier/Préférences/Protocoles/SMB/Snoop SID pour nommer les mappages" dans les préférences ou
vous pouvez remplacer les préférences en spécifiant -o "smb.sid_name_snooping:TRUE" on
le Requin ligne de commande.
La méthode actuelle utilisée par Requin trouver le mappage SID->nom est relativement
restreint avec un espoir d'expansion future.
-z qn,sr[,une fonction filtre]
Collectez les données SRT (temps de réponse du service) d'appel/réponse pour SMB. Les données collectées sont
nombre d'appels pour chaque commande SMB, MinSRT, MaxSRT et AvgSRT.
Exemple : -z qn
Les données seront présentées sous forme de tableaux séparés pour toutes les commandes SMB normales, toutes
Commandes Transaction2 et toutes les commandes NT Transaction. Seules les commandes qui
sont vus dans la capture auront ses statistiques affichées. Seule la première commande dans
une chaîne de commande xAndX sera utilisée dans le calcul. Donc pour le commun
Chaînes SessionSetupAndX + TreeConnectAndX, seul l'appel SessionSetupAndX sera
utilisé dans les statistiques. Il s'agit d'une faille qui pourrait être corrigée à l'avenir.
Cette option peut être utilisée plusieurs fois sur la ligne de commande.
Si l'optionnel une fonction filtre est fourni, les statistiques ne seront calculées que sur ceux
appels qui correspondent à ce filtre.
Exemple : -z "smb,srt,ip.addr==1.2.3.4" ne collectera que les statistiques des paquets SMB
échangé par l'hébergeur à l'adresse IP 1.2.3.4 .
--capture-commentaire
Ajoutez un commentaire de capture au fichier de sortie.
Cette option n'est disponible que si un nouveau fichier de sortie au format pcapng est créé.
Un seul commentaire de capture peut être défini par fichier de sortie.
--disable-protocole
Désactivez la dissection de proto_name.
--enable-heuristique
Activer la dissection du protocole heuristique.
--disable-heuristique
Désactivez la dissection du protocole heuristique.
CAPTURER FILTRE SYNTAXE
Voir la page de manuel de pcap-filtre(7) ou, si cela n'existe pas, tcpdump(8), ou, si cela
n'existe pas, .
LIS FILTRE SYNTAXE
Pour un tableau complet des protocoles et des champs de protocole filtrables dans Requin voir la
wireshark-filtre(4) page de manuel.
Utilisez tshark en ligne en utilisant les services onworks.net
