tshark - 클라우드의 온라인

프로그램:

이름

tshark - 네트워크 트래픽 덤프 및 분석

개요

트 샤크 [ -2 ] [ -a ] ...
[ -b ] ... [ -B ]
[ -c ] [ -C ]
[ -d == , ] [ -D ] [ -e ]
[ -E ] [ -f ] [ -F ] [ -g ] [ -h ]
[ -H ] [ -i |- ] [ -I ] [ -K ] [ -l ]
[ -L ] [ -n ] [ -N ] [ -o ] ...
[ -O ] [ -p ] [ -P ] [ -q ] [ -Q ] [ -r ] [ -R ]
[ -s ] [ -S ] [ -t a|ad|adoy|d|dd|e|r|u|ud|udoy ]
[ -T 필드|pdml|ps|psml|텍스트 ] [ -u ] [ -v ] [ -V ] [ -w |- ]
[ -W ] [ -x ] [ -X ] [ -y ]
[ -Y ] [ -z ] [ --캡처-코멘트 ]
[ ]

트 샤크 -G [ ]

기술

티샤크 네트워크 프로토콜 분석기입니다. 라이브에서 패킷 데이터를 캡처할 수 있습니다.
네트워크 또는 이전에 저장된 캡처 파일에서 패킷을 읽거나 디코딩된
이러한 패킷을 표준 출력으로 변환하거나 패킷을 파일에 기록합니다. 티샤크's
기본 캡처 파일 형식은 pcap 형식으로 사용되는 형식이기도 합니다. TCP 덤프 그리고
다양한 기타 도구.

옵션을 설정하지 않은 상태에서 티샤크 처럼 작동합니다 TCP 덤프. pcap 라이브러리를 사용합니다.
사용 가능한 첫 번째 네트워크 인터페이스에서 트래픽을 캡처하고 요약 라인을 표시합니다.
수신된 각 패킷에 대해 stdout에서.

티샤크 에서 지원하는 동일한 캡처 파일을 감지하고 읽고 쓸 수 있습니다.
와이어 샤크. 입력 파일에는 특정 파일 이름 확장자가 필요하지 않습니다. 파일 형식 및
선택적 gzip 압축이 자동으로 감지됩니다. 초입 부근
설명 섹션 와이어 샤크(1) 또는
에 대한 자세한 설명입니다
방법 와이어 샤크 같은 방식으로 처리합니다. 티샤크 이것을 처리합니다.

압축 파일 지원은 zlib 라이브러리를 사용하므로 필요합니다. 만약 zlib
라이브러리가 없습니다. 티샤크 컴파일되지만 압축 파일을 읽을 수 없습니다.

경우 -w 옵션이 지정되지 않은 경우 티샤크 의 텍스트를 표준 출력에 씁니다.
캡처하거나 읽는 패킷의 디코딩된 형식입니다. 만약 -w 옵션이 지정되고, 티샤크
해당 옵션으로 지정된 파일에 패킷의 원시 데이터를 씁니다.
패킷의 타임 스탬프.

디코딩된 형태의 패킷을 작성할 때, 티샤크 기본적으로 요약 줄을 씁니다.
환경 설정 파일에 의해 지정된 필드(필드이기도 함)를 포함하는
패킷 목록 창에 표시 와이어 샤크), 패킷을 그대로 쓰고 있지만
저장된 캡처 파일에서 패킷을 쓰는 대신 캡처합니다.
"프레임 번호" 필드. 만약 -V 옵션이 지정되면 대신 뷰를 씁니다.
패킷의 모든 프로토콜의 모든 필드를 보여주는 패킷의 세부 정보. 만약 -O
옵션이 지정되면 지정된 전체 프로토콜만 표시됩니다. 의 출력을 사용
"트 샤크 -G 프로토콜"를 눌러 지정할 수 있는 프로토콜의 약어를 찾습니다.

디코딩된 형식의 패킷을 파일에 쓰려면 다음을 실행하십시오. 티샤크 ~없이 -w
옵션을 선택하고 표준 출력을 파일로 리디렉션합니다(do 지원 사용 -w 선택권).

패킷을 파일에 쓸 때, 티샤크, 기본적으로 파일을 씁니다. pcap 형식 및
출력 파일에 보이는 모든 패킷을 씁니다. NS -F 옵션을 사용할 수 있습니다
파일을 작성할 형식을 지정하십시오. 사용 가능한 파일 형식 목록은
에 의해 표시 -F 값이 없는 플래그. 그러나 파일 형식을 지정할 수는 없습니다.
라이브 캡처.

필터 읽기 티샤크, 디코딩할 패킷을 선택하거나
파일에 기록되며 매우 강력합니다. 더 많은 필드를 필터링할 수 있습니다. 티샤크 다른 것보다
프로토콜 분석기 및 필터를 만드는 데 사용할 수 있는 구문이 더 풍부합니다. 같이
티샤크 더 많은 프로토콜 필드가 읽기 필터에서 허용될 것으로 예상됩니다.

패킷 캡처는 pcap 라이브러리로 수행됩니다. 캡처 필터 구문은 다음과 같습니다.
pcap 라이브러리의 규칙. 이 구문은 읽기 필터 구문과 다릅니다. NS
읽기 필터는 캡처할 때도 지정할 수 있으며 읽기를 통과하는 패킷만
필터가 출력 파일에 표시되거나 저장됩니다. 그러나 캡처 필터는
읽기 필터보다 훨씬 효율적이며 더 어려울 수 있습니다. 티샤크 유지하기
라이브 캡처에 대해 읽기 필터가 지정된 경우 사용 중인 네트워크와 함께 작동합니다.

캡처 또는 읽기 필터는 다음과 같이 지정할 수 있습니다. -f or -R 옵션,
이 경우 전체 필터 표현식을 단일 인수로 지정해야 합니다(
공백이 포함된 경우 따옴표로 묶어야 함) 또는 명령으로 지정할 수 있음을 의미합니다.
옵션 인수 뒤의 행 인수, 이 경우 다음의 모든 인수
필터 인수는 필터 표현식으로 처리됩니다. 캡처 필터만 지원됩니다.
라이브 캡처를 할 때; 읽기 필터는 라이브 캡처를 수행할 때 지원됩니다.
캡처 파일을 읽지만 필터링할 때 TShark가 더 많은 작업을 수행해야 하므로
읽기 필터를 사용하는 경우 과부하 상태에서 패킷을 잃을 가능성이 더 큽니다. 필터의 경우
옵션 인수 뒤에 명령줄 인수로 지정되며 캡처 필터입니다.
캡처가 수행 중인 경우(즉, -r 옵션이 지정됨) 및 읽기 필터가 있는 경우
캡처 파일을 읽는 중입니다(즉, -r 옵션이 지정됨).

The -G 옵션은 단순히 티샤크 여러 유형 중 하나를 덤프하려면
내부 용어집을 클릭한 다음 종료합니다.

옵션

-2 XNUMX단계 분석을 수행합니다. 이로 인해 tshark는 전체 출력이 끝날 때까지 출력을 버퍼링합니다.
첫 번째 패스가 완료되었지만 미래 지식이 필요한 필드를 채울 수 있습니다.
예를 들어 '프레임 #의 응답' 필드. 또한 재조립 프레임 종속성을 허용합니다.
올바르게 계산되었습니다.

-NS
다음을 지정하는 기준을 지정합니다. 티샤크 캡처 파일에 쓰기를 중지하는 것입니다.
기준은 형식 test:가치어디로 test 중 하나이다:

지속:가치 캡처 파일에 쓰기 중지 가치 초가 경과했습니다.

파일 크기:가치 의 크기에 도달한 후 캡처 파일에 쓰기를 중지합니다. 가치 KB 만약에
이 옵션은 -b 옵션과 함께 사용됩니다. 티샤크 에 쓰기를 중지합니다.
현재 캡처 파일을 삭제하고 파일 크기에 도달하면 다음 캡처 파일로 전환합니다. 읽을 때
캡처 파일, 티샤크 읽은 바이트 수 후에 파일 읽기를 중지합니다.
이 수를 초과합니다(전체 패킷이 읽히므로 이 수보다 많은 바이트
읽을 수 있습니다). 파일 크기는 최대값 2GiB로 제한됩니다.

파일:가치 다음 이후에 파일을 캡처하기 위해 쓰기 중지 가치 작성된 파일 수입니다.

-NS
원인 티샤크 "여러 파일" 모드에서 실행합니다. "여러 파일" 모드에서 티샤크 결제 게이트웨이,
여러 캡처 파일에 씁니다. 첫 번째 캡처 파일이 가득 차면 티샤크 결제 게이트웨이,
다음 파일로 쓰기 전환 등.

생성된 파일 이름은 -w 옵션, 번호
파일 및 생성 날짜 및 시간(예: outfile_00001_20050604120117.pcap,
outfile_00002_20050604120523.pcap, ...

와 더불어 파일 옵션은 "링 버퍼"를 형성하는 것도 가능합니다. 이것은 채워질 것이다
지정된 파일 수까지 새 파일 티샤크 버릴 것이다
첫 번째 파일에 데이터를 저장하고 해당 파일에 쓰기 시작하는 식입니다. 만약 파일 option
설정되지 않은 경우 캡처 중지 조건 중 하나가 일치할 때까지 새 파일이 채워집니다(또는
디스크가 가득 찰 때까지).

기준은 형식 키:가치어디로 키 중 하나이다:

지속:가치 후에 다음 파일로 전환 가치 초가 경과한 경우에도
현재 파일이 완전히 채워지지 않았습니다.

파일 크기:가치 크기에 도달한 후 다음 파일로 전환 가치 KB 참고
파일 크기는 최대 2GiB로 제한됩니다.

파일:가치 다음 첫 번째 파일로 다시 시작 가치 작성된 파일 수
(링 버퍼를 형성). 이 값은 100000보다 작아야 합니다. 주의해야 합니다.
많은 수의 파일을 사용할 때: 일부 파일 시스템은 하나의 파일에서 많은 파일을 처리하지 않습니다.
단일 디렉토리 잘. NS 파일 기준에는 다음 중 하나가 필요합니다. 지속 or 파일 크기 될
다음 파일로 이동할 시기를 제어하기 위해 지정됩니다. 각 -b
매개변수는 정확히 하나의 기준을 사용합니다. 두 가지 기준을 지정하려면 각각이 앞에 와야 합니다.
로 -b 옵션을 선택합니다.

예: -b 파일 크기:1000 -b 파일:5 XNUMX개 파일 크기의 링 버퍼가 생성됩니다.
각각 XNUMX메가바이트.

-NS
캡처 버퍼 크기를 설정합니다(MiB 단위, 기본값은 2MiB). 캡처에서 사용합니다.
드라이버가 패킷 데이터를 디스크에 쓸 수 있을 때까지 버퍼링합니다. 마주치면
캡처하는 동안 패킷이 삭제되면 이 크기를 늘리십시오. 참고로 동안 티샤크
기본적으로 버퍼 크기를 2MiB로 설정하려고 시도하며 이를
값이 클수록 캡처하는 시스템 또는 인터페이스가 자동으로 제한될 수 있습니다.
캡처 버퍼 크기를 더 낮은 값으로 낮추거나 더 높은 값으로 올립니다.

이것은 libpcap 1.0.0 이상이 설치된 UNIX 시스템과 Windows에서 사용할 수 있습니다. 그것은이다
이전 버전의 libpcap이 있는 UNIX 시스템에서는 사용할 수 없습니다.

이 옵션은 여러 번 발생할 수 있습니다. 첫 번째 발생 이전에 사용된 경우 -i
옵션을 선택하면 기본 캡처 버퍼 크기를 설정합니다. 후에 사용하는 경우 -i 옵션, 그것은 설정
마지막으로 지정된 인터페이스의 캡처 버퍼 크기 -i 옵션 발생
이 옵션 전에. 캡처 버퍼 크기가 특별히 설정되지 않은 경우 기본값은
캡처 버퍼 크기가 대신 사용됩니다.

-씨
라이브 데이터를 캡처할 때 읽을 최대 패킷 수를 설정합니다. 읽는다면
캡처 파일에서 읽을 최대 패킷 수를 설정합니다.

-씨
지정된 구성 프로필로 실행합니다.

-NS == ,
Wireshark와 마찬가지로 디코드 같이... 이 기능을 사용하면 레이어 유형이
해부되다. 문제의 레이어 유형(예: tcp.port or UDP.포트 A에 대한
TCP 또는 UDP 포트 번호)에 지정된 선택기 값이 있으면 패킷을 분석해야 합니다.
지정된 프로토콜로.

예: -d tcp.port==8888,http TCP 포트 8888을 통해 실행되는 모든 트래픽을 다음과 같이 디코딩합니다.
HTTP.

예: -d tcp.port==8888:3,http TCP 포트 8888을 통해 실행되는 모든 트래픽을 디코딩하고,
8889 또는 8890을 HTTP로 사용합니다.

예: -d tcp.port==8888-8890,http TCP 포트를 통해 실행되는 모든 트래픽을 디코딩합니다.
8888, 8889 또는 8890을 HTTP로 사용합니다.

유효하지 않은 선택기 또는 프로토콜을 사용하면 유효한 선택기 목록이 인쇄되고
각각의 프로토콜 이름.

예: -d . 유효한 선택기 목록을 얻는 빠른 방법입니다.

예: -d 이더 유형==0x0800. 할 수 있는 프로토콜 목록을 빠르게 얻을 수 있는 방법입니다.
ethertype으로 선택됩니다.

-D 인터페이스 목록을 인쇄합니다. 티샤크 캡처 및 종료할 수 있습니다. 각각
네트워크 인터페이스, 숫자 및 인터페이스 이름(가능하면 텍스트가 뒤따를 수 있음)
인터페이스에 대한 설명이 인쇄됩니다. 인터페이스 이름 또는 번호는
에 공급 -i 캡처할 인터페이스를 지정하는 옵션입니다.

이것은 목록을 나열하는 명령이 없는 시스템에서 유용할 수 있습니다(예: Windows
시스템 또는 UNIX 시스템이 부족한 ifconfig를 -a); 숫자는 Windows에서 유용할 수 있습니다.
인터페이스 이름이 다소 복잡한 문자열인 2000 이상 시스템.

"캡처 가능"은 다음을 의미합니다. 티샤크 라이브를 하기 위해 그 기기를 열 수 있었습니다
포착. 시스템에 따라 다음 계정에서 tshark를 실행해야 할 수도 있습니다.
네트워크 트래픽을 캡처할 수 있는 특수 권한(예: 루트). 만약에
티샤크 -D 이러한 계정에서 실행되지 않으면 인터페이스가 나열되지 않습니다.

-이자형
다음과 같은 경우 표시할 필드 목록에 필드를 추가합니다. -T 분야 선택됩니다. 이 옵션
명령줄에서 여러 번 사용할 수 있습니다. 하나 이상의 필드를 제공해야 합니다.
경우 -T 분야 옵션이 선택됩니다. 열 이름은 "_ws.col" 접두사로 사용할 수 있습니다.

예: -e 프레임 번호 -e ip.addr -e udp -e _ws.col.정보

단일 필드가 아닌 프로토콜을 제공하면 에 대한 여러 데이터 항목이 인쇄됩니다.
단일 필드로 프로토콜. 필드는 기본적으로 탭 문자로 구분됩니다.
-E 인쇄된 필드의 형식을 제어합니다.

-이자형
다음과 같은 경우 필드 인쇄를 제어하는 ​​옵션을 설정합니다. -T 분야 선택됩니다.

옵션은 다음과 같습니다.

헤더=y|n If y, 다음을 사용하여 주어진 필드 이름 목록을 인쇄하십시오. -e 의 첫 번째 줄로
출력; 필드 이름은 필드와 동일한 문자를 사용하여 구분됩니다.
가치. 기본값: n.

구분 기호=/t|/s|필드에 사용할 구분 문자를 설정합니다. 만약에 /t 탭
가 사용됩니다(기본값). /s, 단일 공백이 사용됩니다. 그렇지 않으면 어떤
옵션의 일부로 명령줄에서 허용할 수 있는 문자를 사용할 수 있습니다.

발생=f|l|a 여러 항목이 있는 필드에 사용할 항목 선택
발생. 만약에 f 첫 번째 항목이 사용되는 경우 l 마지막 발생은
사용하고 만약 a 모든 항목이 사용됩니다(기본값).

애그리게이터=,|/s|다음이 있는 필드에 사용할 집계 문자를 설정합니다.
여러 번 발생합니다. 만약에 , 쉼표가 사용됩니다(기본값). /s은
단일 공간이 사용됩니다. 그렇지 않으면 다음에서 허용할 수 있는 모든 문자
옵션의 일부로 명령줄을 사용할 수 있습니다.

인용=d|s|n 필드를 묶는 데 사용할 인용 문자를 설정합니다. d 큰따옴표를 사용하고,
s 작은 따옴표, n 따옴표 없음(기본값).

-NS
캡처 필터 표현식을 설정합니다.

이 옵션은 여러 번 발생할 수 있습니다. 첫 번째 발생 이전에 사용된 경우 -i
옵션을 선택하면 기본 캡처 필터 표현식을 설정합니다. 후에 사용하는 경우 -i 옵션, 그것
마지막으로 지정된 인터페이스에 대한 캡처 필터 표현식을 설정합니다. -i option
이 옵션 이전에 발생합니다. 캡처 필터 표현식이 설정되지 않은 경우
특히 기본 캡처 필터 표현식이 제공되는 경우 사용됩니다.

-NS
다음을 사용하여 작성된 출력 캡처 파일의 파일 형식을 설정합니다. -w 선택권. 그만큼
로 작성된 출력 -w 옵션은 텍스트가 아닌 원시 패킷 데이터이므로 -F
텍스트 출력을 요청하는 옵션입니다. 옵션 -F 값이 없으면 사용 가능한 목록이 표시됩니다.
형식.

-g 이 옵션을 사용하면 그룹 읽기 권한으로 출력 파일이 생성됩니다.
(즉, 출력 파일(들)은 호출하는 사용자의 다른 구성원이 읽을 수 있습니다.
그룹).

-NS [ ]
The -G 옵션으로 인해 티샤크 여러 유형의 용어집 중 하나를 덤프한 다음
출구. 특정 용어집 유형이 지정되지 않은 경우 분야 보고서는
기본적으로 생성됩니다.

사용 가능한 보고서 유형은 다음과 같습니다.

열 형식 tshark에서 이해하는 열 형식을 덤프합니다. 당 하나의 레코드가 있습니다.
선. 필드는 탭으로 구분됩니다.

* 필드 1 = 형식 문자열(예: "%rD")
* 필드 2 = 형식 문자열의 텍스트 설명(예: "목적지 포트(해결됨)")

현재 환경 설정 현재 기본 설정 파일의 복사본을 stdout에 덤프합니다.

디코딩 "layer type"/"decode as" 연관을 stdout에 덤프합니다. 하나가있다
한 줄에 기록합니다. 필드는 탭으로 구분됩니다.

* 필드 1 = 레이어 유형, 예: "tcp.port"
* 필드 2 = XNUMX진수로 된 선택기
* 필드 3 = "다음으로 디코딩" 이름, 예: "http"

기본 설정 기본 환경 설정 파일을 stdout에 덤프합니다.

해부 테이블 dissector 테이블 목록을 stdout에 덤프합니다. 당 하나의 레코드가 있습니다.
선. 필드는 탭으로 구분됩니다.

* 필드 1 = 해부기 테이블 이름, 예: "tcp.port"
* 필드 2 = GUI에서 dissector 테이블에 사용되는 이름
* 필드 3 = 유형(ftenum 유형의 텍스트 표현)
* 필드 4 = 표시 기준(정수 유형의 경우)

필드 카운트 헤더 필드의 수를 stdout에 덤프합니다.

분야 등록 데이터베이스의 내용을 stdout에 덤프합니다. 독립
프로그램은 이 출력을 가져와 멋진 테이블이나 HTML 등으로 포맷할 수 있습니다.
한 줄에 하나의 레코드가 있습니다. 각 레코드는 프로토콜 또는 헤더 필드입니다.
첫 번째 필드로 구분됩니다. 필드는 탭으로 구분됩니다.

* 프로토콜
* ----------
* 필드 1 = 'P'
* 필드 2 = 설명 프로토콜 이름
* 필드 3 = 프로토콜 약어
*
* 헤더 필드
* --------------
* 필드 1 = 'F'
* 필드 2 = 설명 필드 이름
* 필드 3 = 필드 약어
* 필드 4 = 유형(ftenum 유형의 텍스트 표현)
* 필드 5 = 상위 프로토콜 약어
* 필드 6 = 표시 기준(정수 유형의 경우); FT_BOOLEAN에 대한 "상위 비트 필드 너비"
* 필드 7 = 비트마스크: 형식: 0진수: XNUMXx....
* 필드 8 = 필드 설명 문구

ftype tshark가 이해하는 "ftypes"(기본 유형)를 덤프합니다. 하나가있다
한 줄에 기록합니다. 필드는 탭으로 구분됩니다.

* 필드 1 = FTYPE(예: "FT_IPv6")
* 필드 2 = 유형의 텍스트 설명(예: "IPv6 주소")

휴리스틱 디코딩 현재 설치된 경험적 디코딩을 덤프합니다. 하나가있다
한 줄에 기록합니다. 필드는 탭으로 구분됩니다.

* 필드 1 = 기본 분석기(예: "tcp")
* 필드 2 = 휴리스틱 디코더의 이름(예: ucp")
* 필드 3 = 휴리스틱 활성화(예: "T" 또는 "F")

플러그인 현재 설치된 플러그인을 덤프합니다. 한 줄에 하나의 레코드가 있습니다. NS
필드는 탭으로 구분됩니다.

* 필드 1 = 플러그인 라이브러리(예: "gryphon.so")
* 필드 2 = 플러그인 버전(예: 0.0.4)
* 필드 3 = 플러그인 유형(예: "dissector" 또는 "tap")
* 필드 4 = 플러그인 파일의 전체 경로

프로토콜 등록 데이터베이스의 프로토콜을 stdout으로 덤프합니다. 독립
프로그램은 이 출력을 가져와 멋진 테이블이나 HTML 등으로 포맷할 수 있습니다.
한 줄에 하나의 레코드가 있습니다. 필드는 탭으로 구분됩니다.

* 필드 1 = 프로토콜 이름
* 필드 2 = 프로토콜 짧은 이름
* 필드 3 = 프로토콜 필터 이름

값 필드에 대한 value_strings, range_strings 또는 true/false 문자열을 덤프합니다.
가지고 있다. 한 줄에 하나의 레코드가 있습니다. 필드는 탭으로 구분됩니다. 세 가지가 있습니다
레코드 유형: 값 문자열, 범위 문자열 및 참/거짓 문자열. 첫 번째 필드,
'V', 'R' 또는 'T'는 레코드 유형을 나타냅니다.

* 값 문자열
* --------------
* 필드 1 = 'V'
* 필드 2 = 이 값 문자열이 해당하는 필드 약어
* 필드 3 = 정수 값
* 필드 4 = 문자열
*
* 범위 문자열
* --------------
* 필드 1 = 'R'
* 필드 2 = 이 범위 문자열이 해당하는 필드 약어
* 필드 3 = 정수 값: 하한
* 필드 4 = 정수 값: 상한
* 필드 5 = 문자열
*
* 참/거짓 문자열
* ------------------
* 필드 1 = 'T'
* 필드 2 = 이 참/거짓 문자열이 해당하는 필드 약어
* 필드 3 = True 문자열
* 필드 4 = 거짓 문자열

-h 버전과 옵션을 인쇄하고 종료합니다.

-시간
"호스트" 파일에서 항목 목록을 읽은 다음 캡처에 기록합니다.
파일. 암시 -W n. 여러 번 호출할 수 있습니다.

"호스트" 파일 형식은 다음 위치에 문서화되어 있습니다.http://en.wikipedia.org/wiki/Hosts_(파일)>.

-NS | -
라이브 패킷 캡처에 사용할 네트워크 인터페이스 또는 파이프의 이름을 설정합니다.

네트워크 인터페이스 이름은 "에 나열된 이름 중 하나와 일치해야 합니다.트 샤크 -D"(설명
위에); "에 의해 보고된 숫자트 샤크 -D"도 사용할 수 있습니다. UNIX를 사용하는 경우
"NETSTAT -i"나"ifconfig를 -a"는 인터페이스 이름을 나열하기 위해 작동할 수도 있지만
UNIX의 모든 버전은 -a ~에 대한 옵션 ifconfig를.

인터페이스가 지정되지 않은 경우 티샤크 인터페이스 목록을 검색하고 선택
비-루프백 인터페이스가 있는 경우 첫 번째 비-루프백 인터페이스 및 선택
루프백이 아닌 인터페이스가 없는 경우 첫 번째 루프백 인터페이스입니다. 없는 경우
인터페이스, 티샤크 오류를 보고하고 캡처를 시작하지 않습니다.

파이프 이름은 FIFO(이름이 지정된 파이프)의 이름이거나 데이터를 읽을 ``-''여야 합니다.
표준 입력. 파이프에서 읽은 데이터는 표준 pcap 형식이어야 합니다.

이 옵션은 여러 번 발생할 수 있습니다. 여러 인터페이스에서 캡처할 때
캡처 파일은 pcap-ng 형식으로 저장됩니다.

참고: Win32 버전의 티샤크 파이프에서 캡처를 지원하지 않습니다!

-I 인터페이스를 "모니터 모드"로 설정합니다. IEEE 802.11 Wi-Fi에서만 지원됩니다.
인터페이스이며 일부 운영 체제에서만 지원됩니다.

모니터 모드에서 어댑터는 연결된 네트워크에서 분리될 수 있습니다.
연결되어 있어 무선 네트워크를 사용할 수 없습니다.
어댑터. 이것은 네트워크 서버의 파일에 액세스하거나 호스트를 확인하는 것을 방지할 수 있습니다.
이름 또는 네트워크 주소(모니터 모드에서 캡처 중이고 연결되어 있지 않은 경우)
다른 어댑터를 사용하여 다른 네트워크에 연결합니다.

이 옵션은 여러 번 발생할 수 있습니다. 첫 번째 발생 이전에 사용된 경우 -i
옵션을 선택하면 모든 인터페이스에 대해 모니터 모드를 활성화합니다. 후에 사용하는 경우 -i 선택권,
마지막으로 지정된 인터페이스에 대한 모니터 모드를 활성화합니다. -i option
이 옵션 이전에 발생합니다.

-케이
지정된 keytab 파일에서 kerberos 암호화 키를 로드합니다. 이 옵션을 사용할 수 있습니다
여러 파일에서 키를 로드하기 위해 여러 번.

예: -K krb5.keytab

-l 각 패킷에 대한 정보가 인쇄된 후 표준 출력을 플러시합니다. (이것은
엄밀히 말하면 라인 버퍼링되지 않은 경우 -V 지정되었다; 그러나 다음과 동일합니다.
라인 버퍼링된 경우 -V 각 패킷에 대해 한 줄만 인쇄되므로 지정되지 않았습니다.
그리고, -l 라이브 캡처를 프로그램이나 스크립트에 파이프할 때 일반적으로 사용되므로
패킷에 대한 출력은 패킷을 보고 해부하는 즉시 나타나야 합니다.
실제 라인 버퍼링과 마찬가지로 작동합니다. 우리는 결핍에 대한 해결 방법으로 이것을 수행합니다.
Microsoft Visual C++ C 라이브러리에 있습니다.)

이것은 출력을 파이핑할 때 유용할 수 있습니다. 티샤크 의미하는 대로 다른 프로그램에
출력이 파이프되는 프로그램은 패킷에 대한 분석된 데이터를 볼 수 있습니다.
자마자 티샤크 패킷을 보고 그것을 보는 것이 아니라 그 출력을 생성합니다.
해당 데이터를 포함하는 표준 출력 버퍼가 가득 찰 때만.

-L 인터페이스에서 지원하는 데이터 링크 유형을 나열하고 종료합니다. 보고된 링크 유형
사용할 수 있습니다 -y 옵션을 선택합니다.

-n 네트워크 개체 이름 확인을 비활성화합니다(예: 호스트 이름, TCP 및 UDP 포트 이름). NS
-N 플래그가 이것을 무시할 수 있습니다.

-N
특정 유형의 주소 및 포트 번호에 대해서만 이름 확인을 켭니다.
다른 유형의 주소 및 포트 번호에 대한 이름 확인이 해제되었습니다. 이 깃발
재정의 -n 둘 다 -N 그리고 -n 존재합니다. 둘 다 -N 그리고 -n 플래그가 존재하지 않으며,
모든 이름 확인이 켜져 있습니다.

인수는 다음 문자를 포함할 수 있는 문자열입니다.

C 동시(비동기) DNS 조회 활성화

d 캡처된 DNS 패킷에서 확인 가능

m MAC 주소 확인을 활성화하려면

n 네트워크 주소 확인을 활성화하려면

N 네트워크 주소 확인을 위해 외부 확인자(예: DNS) 사용 가능

t 전송 계층 포트 번호 확인을 활성화하기 위해

-영형 :
기본 값을 설정하고 기본 값과 a에서 읽은 값을 무시합니다.
환경 설정 파일. 옵션에 대한 인수는 다음 형식의 문자열입니다. 이름:가치,
어디에 이름 기본 설정의 이름입니다.
환경 설정 파일에서) 및 가치 설정해야 하는 값입니다.

-영형
받는 유사 -V 옵션이지만 원인 티샤크 쉼표의 자세한 보기만 표시하려면
분리 된 목록 프로토콜 모든 프로토콜에 대한 자세한 보기가 아니라 지정됩니다.
"의 출력을 사용하십시오.트 샤크 -G 프로토콜" 프로토콜의 약어를 찾으려면
지정할 수 있습니다.

-p 마 인터페이스를 무차별 모드로 설정합니다. 인터페이스가 다음 위치에 있을 수 있습니다.
다른 이유로 난잡한 모드; 그 후, -p 를 확인하는 데 사용할 수 없습니다.
캡처된 트래픽은 티샤크
실행 중이고 트래픽을 브로드캐스트하고 해당 주소로 트래픽을 멀티캐스트합니다.
기계.

이 옵션은 여러 번 발생할 수 있습니다. 첫 번째 발생 이전에 사용된 경우 -i
옵션을 선택하면 인터페이스가 무차별 모드로 전환되지 않습니다. 후에 사용하는 경우 -i
옵션, 마지막으로 지정된 인터페이스 -i 이 옵션 이전에 발생하는 옵션
무차별 모드로 전환되지 않습니다.

-P 를 사용하여 원시 패킷 데이터를 쓰는 경우에도 패킷 요약을 디코딩하고 표시합니다. -w
옵션을 선택합니다.

-q 패킷을 캡처할 때 캡처된 패킷의 연속 수를 표시하지 않습니다.
일반적으로 캡처를 파일에 저장할 때 표시됩니다. 대신, 그냥 표시,
캡처, 캡처된 패킷 수입니다. SIGINFO 신호를 지원하는 시스템에서,
다양한 BSD와 같은 경우 다음을 입력하여 현재 카운트가 표시되도록 할 수 있습니다.
"status" 문자(일반적으로 control-T, 비록 그것이 "disabled"로 설정될 수 있지만
적어도 일부 BSD에서는 기본값이므로 이를 사용하려면 명시적으로 설정해야 합니다).

캡처 파일을 읽을 때 또는 캡처하고 파일에 저장하지 않을 때 인쇄하지 마십시오.
패킷 정보; 이것은 다음을 사용하는 경우에 유용합니다. -z 통계 계산 옵션
그리고 패킷 정보가 인쇄되는 것을 원하지 않고 통계만 표시됩니다.

-Q 패킷을 캡처할 때 실제 오류만 표시합니다. 이것은 보다 적게 출력합니다. -q
옵션이므로 인터페이스 이름과 총 패킷 수 및 캡처 끝이
stderr로 보냈습니다.

-NS
에서 패킷 데이터 읽기 인파일, 지원되는 모든 캡처 파일 형식(포함
gzip 파일). 여기에서 명명된 파이프나 표준 입력(-)을 사용할 수 있지만 다음과 같은 경우에만 가능합니다.
특정(압축되지 않은) 캡처 파일 형식(특히: 읽을 수 있는 형식
뒤로 찾지 않고).

-NS
지정된 필터(읽기/표시 필터 구문을 사용하는 대신
캡처 필터) 분석의 첫 번째 단계에서 적용됩니다. 패킷이 아님
필터와 일치하는 것은 향후 패스에 대해 고려되지 않습니다. 에만 의미가 있습니다.
다중 패스, -2 참조. 단일 패스 분석에 대한 일반 필터링은 대신 -Y를 참조하십시오.

'response in frame #'과 같은 미래 지향적인 필드는 다음과 함께 사용할 수 없습니다.
이 필터는 이 필터가 적용될 때 계산되지 않기 때문입니다.

-NS
라이브 데이터를 캡처할 때 사용할 기본 스냅샷 길이를 설정합니다. 이상 스냅렌
각 네트워크 패킷의 바이트는 메모리로 읽히거나 디스크에 저장됩니다. 값 0
전체 패킷이 캡처되도록 스냅샷 길이를 65535로 지정합니다. 이것이
태만.

이 옵션은 여러 번 발생할 수 있습니다. 첫 번째 발생 이전에 사용된 경우 -i
옵션을 선택하면 기본 스냅샷 길이를 설정합니다. 후에 사용하는 경우 -i 옵션, 그것은 설정
마지막으로 지정된 인터페이스의 스냅샷 길이 -i 전에 발생하는 옵션
이 옵션. 스냅샷 길이를 특별히 설정하지 않으면 기본 스냅샷
길이는 제공된 경우 사용됩니다.

-NS
패킷 사이에 인쇄할 줄 구분자를 설정합니다.

-ta|ad|adoy|d|dd|e|r|u|ud|udoy
요약 행에 인쇄되는 패킷 타임스탬프의 형식을 설정합니다. 형식은 다음과 같습니다.
다음 중 하나:

a 절대 시간: 사용자 시간대의 현지 시간인 절대 시간은 실제 시간입니다.
패킷이 캡처되었으며 날짜가 표시되지 않았습니다.

ad 날짜가 포함된 절대: YYYY-MM-DD로 표시되는 절대 날짜 및 현지 시간으로 표시되는 시간
시간대의 시간은 패킷이 캡처된 실제 시간과 날짜입니다.

애도 날짜를 사용한 절대 날짜: YYYY/DOY로 표시되는 절대 날짜,
시간은 해당 시간대의 현지 시간으로 패킷이 전송된 실제 시간과 날짜입니다.
캡처

d delta: 델타 시간은 이전 패킷이 캡처된 이후의 시간입니다.

dd delta_displayed: delta_displayed 시간은 이전에 표시된 이후 시간입니다.
패킷이 캡처되었습니다

e epoch: epoch(1년 1970월 00일 00:00:XNUMX) 이후의 시간(초)

r 상대: 상대 시간은 첫 번째 패킷과 패킷 사이에 경과된 시간입니다.
현재 패킷

u UTC: 절대 시간(UTC)은 패킷이 캡처된 실제 시간입니다.
표시된 날짜

ud 날짜가 포함된 UTC: YYYY-MM-DD로 표시되는 절대 날짜 및 UTC로 표시되는 시간은
패킷이 캡처된 실제 시간 및 날짜

우도이 날짜를 사용하는 UTC: YYYY/DOY로 표시되는 절대 날짜 및
시간(UTC)은 패킷이 캡처된 실제 시간 및 날짜입니다.

기본 형식은 상대적입니다.

-T 필드|pdml|ps|psml|텍스트
디코딩된 패킷 데이터를 볼 때 출력 형식을 설정합니다. 옵션은 하나
중 :

분야 다음으로 지정된 필드의 값 -e 옵션,
-E 선택권. 예를 들면

-T 필드 -E 구분 기호=, -E 따옴표=d

로 가져오기에 적합한 쉼표로 구분된 값(CSV) 출력을 생성합니다.
좋아하는 스프레드시트 프로그램.

pdml 패킷 세부 정보 마크업 언어, 디코딩된 세부 정보에 대한 XML 기반 형식
패킷. 이 정보는 인쇄된 패킷 세부 정보와 동일합니다. -V
깃발.

ps 사람이 읽을 수 있는 각 패킷의 한 줄 요약을 위한 PostScript 또는
여부에 따라 각 패킷의 세부 정보에 대한 여러 줄 보기 -V
플래그가 지정되었습니다.

psml Packet Summary Markup Language, 요약 정보를 위한 XML 기반 형식
디코딩된 패킷의 이 정보는 에 표시된 정보와 동일합니다.
기본적으로 인쇄되는 한 줄 요약.

본문 사람이 읽을 수 있는 각 패킷의 한 줄 요약 텍스트 또는 여러 줄
여부에 따라 각 패킷의 세부 정보 보기 -V 깃발은
지정. 이것이 기본값입니다.

-유
초 유형을 지정합니다. 유효한 선택은 다음과 같습니다.

s 몇 초 동안

HMS 시간, 분 및 초

-v 버전을 인쇄하고 종료합니다.

-V 원인 티샤크 패킷 세부 정보 보기를 인쇄합니다.

-w | -
원시 패킷 데이터 쓰기 아웃파일 또는 다음과 같은 경우 표준 출력으로 아웃파일 이다 '-'.

참고: -w는 텍스트가 아닌 원시 패킷 데이터를 제공합니다. 텍스트 출력을 원하면 다음을 수행해야 합니다.
표준 출력을 리디렉션(예: '>' 사용)하고 사용하지 마십시오. -w 이에 대한 옵션입니다.

-W
형식이 지원하는 경우 파일에 추가 정보를 저장합니다. 예를 들어,

-F pcapng -Wn

캡처된 패킷과 함께 호스트 이름 확인 레코드를 저장합니다.

Wireshark의 향후 버전은 캡처 형식을 다음으로 자동 변경할 수 있습니다. PCPNG as
필요합니다.

인수는 다음 문자를 포함할 수 있는 문자열입니다.

n 네트워크 주소 확인 정보 쓰기(pcapng만 해당)

-x 원인 티샤크 인쇄 후 패킷 데이터의 XNUMX진수 및 ASCII 덤프를 인쇄하려면
요약 및/또는 세부 정보(둘 중 하나가 표시되는 경우).

-NS
에 전달할 옵션을 지정하십시오. 티샤크 기준 치수. eXtension 옵션은
형태 확장 키:가치어디로 확장 키 될 수 있습니다 :

lua_script:lua_script_filename 말하다 티샤크 추가로 주어진 스크립트를 로드하려면
기본 Lua 스크립트.

lua_scriptNUM:논의 말하다 티샤크 주어진 인수를 lua 스크립트에 전달하기 위해
'lua_script' 명령의 번호 인덱스 순서인 'num'으로 식별됩니다.
예를 들어 하나의 스크립트만 '-X lua_script:my.lua'로 로드된 경우 '-X
lua_script1:foo'는 문자열 'foo'를 'my.lua' 스크립트에 전달합니다. 스크립트가 XNUMX개인 경우
'-X lua_script:my.lua' 및 '-X lua_script:other.lua'와 같이 로드되었습니다.
'-X lua_script2:bar'는 문자열 'bar'를 두 번째 lua에 전달합니다.
스크립트, 즉 'other.lua'.

읽기 형식:파일 형식 말하다 티샤크 주어진 파일 형식을 사용하여 파일에서 읽기
(에 주어진 파일 -r 명령 옵션). 제공하지 않음 파일 형식 인수 또는
유효하지 않은 파일은 사용할 수 있는 파일 형식의 파일을 생성합니다.

-와이
패킷을 캡처하는 동안 사용할 데이터 링크 유형을 설정합니다. 보고된 값 -L are
사용할 수 있는 값입니다.

이 옵션은 여러 번 발생할 수 있습니다. 첫 번째 발생 이전에 사용된 경우 -i
옵션을 선택하면 기본 캡처 링크 유형을 설정합니다. 후에 사용하는 경우 -i 옵션, 그것은 설정
마지막으로 지정된 인터페이스에 대한 캡처 링크 유형 -i 옵션 발생
이 옵션 전에. 캡처 링크 유형이 특별히 설정되지 않은 경우 기본값은
제공되는 경우 캡처 링크 유형이 사용됩니다.

-와이
지정된 필터(읽기/표시 필터 구문을 사용하는 대신
패킷의 디코딩된 형태를 인쇄하기 전에 적용할 캡처 필터 또는
파일에 패킷 쓰기. 필터와 일치하는 패킷이 인쇄되거나 기록됩니다.
파일; 일치하는 패킷이 의존하는 패킷(예: 조각)은 인쇄되지 않습니다.
그러나 파일에 기록됩니다. 필터와 일치하지 않거나 의존하지 않는 패킷은
인쇄되거나 기록되지 않고 폐기됩니다.

단일 패스 분석을 사용하여 필터링하려면 -R 대신 이것을 사용하십시오. 투패스를 하면
분석(-2 참조) 그러면 읽기 필터(있는 경우)와 일치하는 패킷만
이 필터에 대해 확인했습니다.

-지
돈을 받아가세요 티샤크 각종 통계를 수집하고 그 결과를 표시하기 위해
캡처 파일 읽기를 마칩니다. 사용 -q 캡처 파일을 읽고 있는 경우 플래그
패킷별 정보가 아닌 통계만 인쇄되기를 원합니다.

참고로 -z 프로토 옵션이 다릅니다. 통계가 발생하지 않습니다.
캡처가 완료되면 수집 및 인쇄되며 일반 패킷을 수정합니다.
옵션으로 지정된 필드의 값을 포함하는 요약 출력. 그러므로
당신은 사용해서는 안됩니다 -q 옵션은 해당 옵션이 인쇄를 억제하므로
일반 패킷 요약 출력 및 사용해서는 안 됩니다. -V 옵션
패킷 요약 정보가 아닌 패킷 세부 정보가 인쇄되도록 합니다.

현재 구현된 통계는 다음과 같습니다.

-z 도움
에 대해 가능한 모든 값 표시 -z.

-z afp,srt[,필터링]
Apple Filing Protocol 서비스 응답 시간 통계를 표시합니다.

-z 낙타, srt
-z 비교하다,스타트,중지,ㅜㅜ[0|1],주문[0|1],변화[,필터링]
선택사항인 경우 필터링 가 지정되면 필터와 일치하는 패킷만
계산에 사용됩니다.

-z 전환,유형[,필터링]
캡처에서 볼 수 있는 모든 대화를 나열하는 테이블을 만듭니다.
유형 생성하려는 대화 끝점 유형을 지정합니다.
통계; 현재 지원되는 것들은:

"블루투스" 블루투스 주소
"eth" 이더넷 주소
"fc" 파이버 채널 주소
"fddi" FDDI 주소
"ip" IPv4 주소
"ipv6" IPv6 주소
"ipx" IPX 주소
"jxta" JXTA 메시지 주소
"ncp" NCP 연결
"rsvp" RSVP 연결
"sctp" SCTP 주소
"tcp" TCP/IP 소켓 쌍 IPv4 및 IPv6 모두 지원됨
"tr" 토큰링 주소
"usb" USB 주소
"udp" UDP/IP 소켓 쌍 IPv4 및 IPv6 모두 지원됨
"wlan" IEEE 802.11 주소

선택사항인 경우 필터링 가 지정되면 필터와 일치하는 패킷만
계산에 사용됩니다.

테이블은 각 대화에 대해 한 줄로 표시되며 번호가 표시됩니다.
각 방향의 패킷/바이트 수와 총 패킷/바이트 수.
테이블은 총 프레임 수에 따라 정렬됩니다.

-z dcerpc, srt,uuid,주요한.미성년자[,필터링]
DCERPC 인터페이스에 대한 호출/응답 SRT(Service Response Time) 데이터 수집 uuid,
버전 주요한.미성년자. 수집된 데이터는 각 절차에 대한 호출 횟수이며,
MinSRT, MaxSRT 및 AvgSRT.

예: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0 데이터를 수집할 것입니다
CIFS SAMR 인터페이스용.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

선택사항인 경우 필터링 제공되는 경우 통계는 해당 항목에 대해서만 계산됩니다.
해당 필터와 일치하는 호출.

예: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0,ip.addr==1.2.3.4
특정 호스트에 대한 SAMR SRT 통계를 수집합니다.

-z bootp,상태[,필터링]
DHCP(BOOTP) 통계를 표시합니다.

-z 직경, avp[,cmd.코드,들,들,...]
이 옵션을 사용하면 큰 크기에서 가장 중요한 직경 필드를 추출할 수 있습니다.
캡처 파일. 일치하는 각 다이어미터 메시지에 대해 정확히 하나의 텍스트 라인
직경.cmd.code 인쇄됩니다.

빈 직경 명령 코드 또는 '*'를 지정하여 모든 직경.cmd.code

예: -z 직경, 평균 지름 메시지에서 기본 필드 세트를 추출합니다.

예: -z 직경, 평균, 280 직경 DWR에서 기본 필드 세트 추출
메시지.

예: -z 직경, 평균, 272 지름 CC 메시지에서 기본 필드 세트를 추출합니다.

지름 CC 메시지에서 가장 중요한 필드 추출:

트 샤크 -r 파일.cap.gz -q -z
직경,avp,272,CC-요청 유형,CC-요청-번호,세션-Id,구독-Id-데이터,등급 그룹,결과-코드

각 다이어미터 메시지에 대해 다음 필드가 인쇄됩니다.

"프레임" 프레임 번호입니다.
"time" 프레임 도착의 Unix 시간입니다.
"src" 소스 주소.
"srcport" 소스 포트.
"dst" 목적지 주소.
"dstport" 대상 포트입니다.
"proto" tshark 출력의 사후 처리에 사용할 수 있는 상수 문자열 '직경'입니다. 예: grep/sed/awk.
"msgnr" 시퀀스 프레임 내의 지름 메시지 수. 예를 들어 동일한 프레임에서 세 번째 지름 메시지의 경우 '2'입니다.
"is_request" 메시지가 요청이면 '0', 메시지가 응답이면 '1'입니다.
"cmd" diameter.cmd_code, 예: 신용 관리 메시지의 경우 '272'.
"req_frame" 일치하는 요청이 발견된 프레임 수 또는 '0'.
"ans_frame" 일치하는 답변이 발견된 프레임 수 또는 '0'.
"resp_time" 응답 시간(초), 일치하는 요청/응답이 추적에서 발견되지 않는 경우 '0'. 예: 캡처 시작 또는 끝.

-z 직경, 평균 옵션이 훨씬 빠릅니다. -V -T 본문 or -T pdml 옵션을 제공합니다.

-z 직경, 평균 옵션이 보다 강력합니다. -T 들 그리고 -z 프로토 콜인포
옵션을 제공합니다.

하나의 프레임에서 다중 직경 메시지가 지원됩니다.

하나의 다이어미터 메시지 내에서 동일한 이름을 가진 여러 필드가 지원됩니다. 예:
Diameter.Subscription-Id-Data or 직경.등급 그룹.

참고 : 트 샤크 -q 기본값을 억제하려면 옵션을 사용하는 것이 좋습니다. 트 샤크 출력.

-z DNS, 트리[,필터링]
캡처된 DNS 패킷의 요약을 만듭니다. 일반 정보 수집
qtype 및 qclass 배포와 같은. 일부 데이터의 경우(qname 길이 또는 DNS
페이로드) 최대, 최소 및 평균 값도 표시됩니다.

-z 끝점,유형[,필터링]
캡처에서 볼 수 있는 모든 끝점을 나열하는 테이블을 만듭니다. 유형
통계를 생성하려는 끝점 유형을 지정합니다.
현재 지원되는 것들은:

"블루투스" 블루투스 주소
"eth" 이더넷 주소
"fc" 파이버 채널 주소
"fddi" FDDI 주소
"ip" IPv4 주소
"ipv6" IPv6 주소
"ipx" IPX 주소
"jxta" JXTA 메시지 주소
"ncp" NCP 연결
"rsvp" RSVP 연결
"sctp" SCTP 주소
"tcp" TCP/IP 소켓 쌍 IPv4 및 IPv6 모두 지원됨
"tr" 토큰링 주소
"usb" USB 주소
"udp" UDP/IP 소켓 쌍 IPv4 및 IPv6 모두 지원됨
"wlan" IEEE 802.11 주소

선택사항인 경우 필터링 가 지정되면 필터와 일치하는 패킷만
계산에 사용됩니다.

테이블은 각 대화에 대해 한 줄로 표시되며 번호가 표시됩니다.
각 방향의 패킷/바이트 수와 총 패킷/바이트 수.
테이블은 총 프레임 수에 따라 정렬됩니다.

-z 전문가[,오류|,경고|,참고|,채팅][,필터]
모든 전문가 정보에 대한 정보를 수집하여 순서대로 표시하고,
심각도별로 그룹화됩니다.

예: -z 전문가, 한 모금 프레임에 대한 모든 심각도의 전문가 항목을 표시합니다.
sip 프로토콜과 일치합니다.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

선택사항인 경우 필터링 제공되는 경우 통계는 해당 항목에 대해서만 계산됩니다.
해당 필터와 일치하는 호출.

예: -z "전문가, 참고, tcp" 프레임에 대한 전문가 항목만 수집합니다.
note 이상의 심각도와 함께 tcp 프로토콜을 포함합니다.

-z 따르다,제자,모드,필터링[,범위]
두 노드 간의 TCP 또는 UDP 스트림 내용을 표시합니다. 에서 보낸 데이터
두 번째 노드에는 에서 보낸 데이터와 구별하기 위해 탭이 접두사로 붙습니다.
첫 번째 노드.

제자 전송 프로토콜을 지정합니다. 다음 중 하나일 수 있습니다.

TCP TCP
UDP UDP
SSL SSL

모드 출력 모드를 지정합니다. 다음 중 하나일 수 있습니다.

인쇄할 수 없는 문자에 대해 점이 있는 ASCII ASCII 출력
인쇄할 수 없는 문자에 대한 점이 있는 ebcdic EBCDIC 출력
XNUMX진수 오프셋이 있는 XNUMX진수 및 ASCII 데이터
원시 XNUMX진수 데이터

의 출력부터 아스키 or 이브딕 모드는 개행을 포함할 수 있으며, 각 길이는
출력 섹션과 개행 문자가 출력의 각 섹션 앞에 옵니다.

필터링 표시할 스트림을 지정합니다. UDP/TCP 스트림은 다음으로 선택됩니다.
스트림 인덱스 또는 IP 주소와 포트 쌍 중 하나. SSL 스트림이 선택되었습니다.
스트림 인덱스와 함께 예를 들어:

ip-addr0:포트0,ip-addr1:포트1
스트림 인덱스

범위 선택적으로 표시되어야 하는 스트림의 "청크"를 지정합니다.

예: -z "팔로우, tcp, 1진수, XNUMX" 첫 번째 TCP 스트림의 내용을 표시합니다.
"XNUMX진수" 형식으로.

================================================== ===============
따르십시오: tcp, hex
필터: tcp.stream eq 1
노드 0: 200.57.7.197:32891
노드 1: 200.57.7.198:2906
00000000 00 00 00 22 00 00 00 07 00 0a 85 02 07 e9 00 02 ..."...........................
00000010 07 e9 06 0f 00 0d 00 04 00 00 00 01 00 03 00 06 ...........................
00000020 1f 00 06 04 00 00 ......
00000000 00 01 00 00 ....
00000026 00 02 00 00

예: -z "팔로우, TCP, ASCII, 200.57.7.197:32891,200.57.7.198:2906" 표시됩니다
200.57.7.197 포트 32891과 200.57.7.98 포트 사이의 TCP 스트림 내용
2906.

================================================== ===============
따르십시오: tcp, 아스키
필터: (가독성을 위해 생략)
노드 0: 200.57.7.197:32891
노드 1: 200.57.7.198:2906
38
...".....
................
4
....

-z h225, 카운터[,필터]
ITU-T H.225 메시지와 그 이유를 세십시오. 첫 번째 열에는 목록이 표시됩니다.
현재 캡처에서 발생하는 H.225 메시지 및 H.225 메시지 이유
파일. 각 메시지 또는 이유의 발생 횟수는
두 번째 열.

예: -z h225, 카운터.

선택사항인 경우 필터링 제공되는 경우 통계는 해당 항목에 대해서만 계산됩니다.
해당 필터와 일치하는 호출. 예: 사용 -z "h225,카운터,ip.addr==1.2.3.4" 에
IP 주소 225에서 호스트가 교환한 H.1.2.3.4 패킷에 대한 통계만 수집합니다.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

-z h225,srt[,필터]
ITU-T H.225 RAS에 대한 요청/응답 SRT(서비스 응답 시간) 데이터를 수집합니다.
수집된 데이터는 각 ITU-T H.225 RAS 메시지 유형의 호출 수, 최소
SRT, 최대 SRT, 평균 SRT, 최소 패킷 및 최대 패킷. 당신은
또한 열린 요청(응답되지 않은 요청), 폐기된 응답의 수를 얻습니다.
(일치하는 요청이 없는 응답) 및 중복 메시지.

예: -z h225,srt

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

선택사항인 경우 필터링 제공되는 경우 통계는 해당 항목에 대해서만 계산됩니다.
해당 필터와 일치하는 호출.

예: -z "h225,srt,ip.addr==1.2.3.4" ITU-T H.225에 대한 통계만 수집합니다.
호스트가 IP 주소 1.2.3.4에서 교환한 RAS 패킷.

-z 호스트[,ipv4][,ipv6]
수집된 모든 IPv4 및/또는 IPv6 주소를 "호스트" 형식으로 덤프합니다. IPv4 및
IPv6 주소는 기본적으로 덤프됩니다.

주소는 표준 "호스트" 파일을 비롯한 여러 소스에서 수집됩니다.
트래픽을 캡처했습니다.

-z hpfeeds,트리[,필터링]
채널당 게시 및 opcode와 같은 HPFEEDS 트래픽에 대한 통계 계산
유통.

-z http, 통계,
HTTP 통계 분포를 계산합니다. 표시된 값은 HTTP 상태입니다.
코드 및 HTTP 요청 방법.

-z http,트리
HTTP 패킷 분포를 계산합니다. 표시된 값은 HTTP 요청입니다.
모드 및 HTTP 상태 코드.

-z http_req,트리
서버별로 HTTP 요청을 계산합니다. 표시된 값은 서버 이름 및
URI 경로.

-z http_srv,트리
서버별로 HTTP 요청 및 응답을 계산합니다. HTTP 요청의 경우,
표시된 값은 서버 IP 주소와 서버 호스트 이름입니다. HTTP의 경우
응답, 표시되는 값은 서버 IP 주소 및 상태입니다.

-z ICMP,SRT[,필터링]
총 ICMP 에코 요청, 응답, 손실 및 손실률을 계산합니다.
최소, 최대, 평균, 중앙값 및 표본 표준 편차 SRT 통계
ping이 제공하는 전형적인 것입니다.

예: -z ICMP,srt,ip.src==1.2.3.4 ICMP에 대한 ICMP SRT 통계를 수집합니다.
특정 호스트에서 발생하는 에코 요청 패킷.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

-z ICMPV6,srt[,필터링]
총 ICMPv6 에코 요청, 응답, 손실 및 손실 비율을 계산합니다.
최소, 최대, 평균, 중앙값 및 표본 표준 편차 SRT 통계
ping이 제공하는 전형적인 것입니다.

예: -z icmpv6,srt,ipv6.src==fe80::1 에 대한 ICMPv6 SRT 통계를 수집합니다.
ICMPv6 에코 요청 패킷은 특정 호스트에서 시작됩니다.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

-z io,phs[,필터링]
패킷 수와 바이트 수를 모두 나열하는 프로토콜 계층 통계를 만듭니다. 만약에
아니 필터링 모든 패킷에 대해 통계가 계산됩니다. 만약
필터링 지정된 통계는 다음과 같은 패킷에 대해서만 계산됩니다.
필터를 일치시킵니다.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

-z 이오, 통계,간격[,필터링][,필터링][,필터링] ...
캡처에 대한 패킷/바이트 통계를 다음 간격으로 수집합니다. 간격 초.
간격 전체 또는 분수 초로 지정할 수 있으며 다음과 같이 지정할 수 있습니다.
마이크로초(us) 해상도로 지정됩니다. 만약에 간격 0이면 통계는
모든 패킷에 대해 계산됩니다.

없는 경우 필터링 모든 패킷에 대해 통계가 계산됩니다. 만약에
하나 이상 필터 지정된 통계는 모든 필터에 대해 계산됩니다.
각 필터에 대해 하나의 통계 열이 제공됩니다.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

예: -z io,stat,1,ip.addr==1.2.3.4 모든 항목에 대해 1초 통계를 생성합니다.
호스트와의 트래픽 1.2.3.4.

예: -z "io,stat,0.001,smb&&ip.addr==1.2.3.4" 에 대한 1ms 통계를 생성합니다.
호스트와 주고받는 모든 SMB 패킷 1.2.3.4.

위의 모든 예는 다음과 같은 통계를 생성하기 위해 표준 구문을 사용합니다.
각 간격의 패킷 및 바이트 수만 계산합니다.

이오, 통계 또한 훨씬 더 많은 통계를 수행하고 계산할 수 있습니다. 카운트(), 합집합(), 분(),
MAX (), 평균() 그리고 짐() 약간 다른 필터 구문 사용:

-z io, 통계,간격,"[카운트|합|최소|최대|평균|로드](들)필터링"
참고: 여기서 주목해야 할 한 가지 중요한 점은 필터가 선택 사항이 아니며
계산의 기반이 되는 필드는 필터 문자열의 일부여야 합니다.
계산이 실패합니다.

그래서: -z io,통계,0.010,AVG(smb.시간) 작동하지 않습니다. 사용하다 -z
io,통계,0.010,AVG(smb.시간)smb.시간 대신에. 또한 필드가 존재할 수 있다는 점에 유의하십시오.
같은 패킷 내에서 여러 번 그런 다음 여러 번 계산됩니다.
그 패킷들.

참고: 두 번째로 주목해야 할 중요한 사항은 시스템 설정이 XNUMX진수
구분 기호는 "."로 설정해야 합니다! ","로 설정하면 통계가 표시되지 않습니다.
필터별로 표시됩니다.

세다(들)필터링 - 필드의 횟수를 계산합니다. name (그가 아니라
값)은 필터링된 패킷 목록에 간격별로 나타납니다. ''들''는 무엇이든 될 수 있습니다
필터 이름을 표시합니다.

예: -z io,stat,0.010,"COUNT(smb.sid)smb.sid"

이것은 각 10ms 간격에 표시되는 총 SID 수를 계산합니다.

합집합(들)필터링 - COUNT와 달리 값 지정된 필드의 합계는
시간 간격. ''들''는 명명된 정수, float, double 또는 상대만 될 수 있습니다.
시간 필드.

예: -z io,stat,0.010,"SUM(frame.len)frame.len"

모든 시스템에서 양방향으로 전송된 총 바이트 수를 보고합니다.
10밀리초 간격으로 패킷을 전송합니다.

최소/최대/평균(들)필터링 - 각각의 최소, 최대 또는 평균 필드 값
간격이 계산됩니다. 지정된 필드는 명명된 정수, float,
이중 또는 상대 시간 필드. 상대 시간 필드의 경우 출력이 표시됩니다.
XNUMX자리 소수점 이하 자릿수가 가장 가까운 단위로 반올림된 초 단위
마이크로초.

다음 예에서 첫 번째 Read_AndX 호출 시간, 마지막 Read_AndX
응답 값이 표시되고 최소, 최대 및 평균 읽기 응답
시간(SRT)이 계산됩니다. 참고: DOS 명령 셸 행이 계속되는 경우
문자 ''^''가 사용되며 각 행은 쉼표로 끝날 수 없으므로 다음 위치에 배치됩니다.
각 연속 라인의 시작:

tshark -o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z io,stat,0,
"MIN(frame.time_relative)frame.time_relative 및 smb.cmd==0x2e 및 smb.flags.response==0",
"MAX(frame.time_relative)frame.time_relative 및 smb.cmd==0x2e 및 smb.flags.response==1",
"MIN(smb.time)smb.time 및 smb.cmd==0x2e",
"MAX(smb.time)smb.time 및 smb.cmd==0x2e",
"AVG(smb.time)smb.time 및 smb.cmd==0x2e"

================================================== ================================================== ==
IO 통계
열 #0: MIN(frame.time_relative)frame.time_relative 및 smb.cmd==0x2e 및 smb.flags.response==0
열 #1: MAX(frame.time_relative)frame.time_relative 및 smb.cmd==0x2e 및 smb.flags.response==1
열 #2: MIN(smb.time)smb.time 및 smb.cmd==0x2e
열 #3: MAX(smb.time)smb.time 및 smb.cmd==0x2e
열 #4: AVG(smb.time)smb.time 및 smb.cmd==0x2e
| 열 #0 | 열 #1 | 열 #2 | 열 #3 | 열 #4 |
시간 | 분 | 최대 | 분 | 최대 | AVG |
000.000- 0.000000 7.704054 0.000072 0.005539 0.000295
================================================== ================================================== ==

다음 명령은 평균 SMB 읽기 응답 PDU 크기를 표시합니다.
읽기 PDU 바이트 수, 평균 SMB 쓰기 요청 PDU 크기 및 총
SMB 쓰기 PDU에서 전송된 바이트 수:

tshark -n -q -r smb_reads_writes.cap -z io,stat,0,
"AVG(smb.file.rw.length)smb.file.rw.length 및 smb.cmd==0x2e 및 smb.response_to",
"SUM(smb.file.rw.length)smb.file.rw.length 및 smb.cmd==0x2e 및 smb.response_to",
"AVG(smb.file.rw.length)smb.file.rw.length 및 smb.cmd==0x2f 및 smb.response_to 아님",
"SUM(smb.file.rw.length)smb.file.rw.length 및 smb.cmd==0x2f 및 smb.response_to 아님"

===================================================== ====================================
IO 통계
열 #0: AVG(smb.file.rw.length)smb.file.rw.length 및 smb.cmd==0x2e 및 smb.response_to
열 #1: SUM(smb.file.rw.length)smb.file.rw.length 및 smb.cmd==0x2e 및 smb.response_to
열 #2: AVG(smb.file.rw.length)smb.file.rw.length 및 smb.cmd==0x2f 및 smb.response_to 아님
열 #3: SUM(smb.file.rw.length)smb.file.rw.length 및 smb.cmd==0x2f 및 smb.response_to 아님
| 열 #0 | 열 #1 | 열 #2 | 열 #3 |
시간 | AVG | 합계 | AVG | 합계 |
000.000-30018 28067522 ​​72 3240
===================================================== ====================================

짐(들)필터링 - 각 간격의 LOAD/Queue-Depth가 계산됩니다. NS
지정된 필드는 응답 시간을 나타내는 상대 시간 필드여야 합니다.
예를 들어 smb.time. 각 간격에 대해 지정된 Queue-Depth
프로토콜이 계산됩니다.

다음 명령은 평균 SMB 로드를 표시합니다. 값 1.0은 다음을 나타냅니다.
하나의 I/O가 비행 중입니다.

tshark -n -q -r smb_reads_writes.cap
-z "io,stat,0.001,LOAD(smb.time)smb.time"

========================================================================================================== ==============
IO 통계
간격: 0.001000초
열 #0: LOAD(smb.time)smb.time
| 열 #0 |
시간 | 로드 |
0000.000000-0000.001000 1.000000
0000.001000-0000.002000 0.741000
0000.002000-0000.003000 0.000000
0000.003000-0000.004000 1.000000

프레임 | 바이트[()필터링] - 총 프레임 또는 바이트 수를 표시합니다. NS
필터 필드는 선택 사항이지만 포함된 경우 ''()''가 앞에 추가되어야 합니다.

다음 명령은 XNUMX개의 열을 표시합니다. 총 프레임 및 바이트 수
(양방향으로 전송) 단일 쉼표를 사용하여 동일한 두 통계
FRAMES 및 BYTES 하위 명령, 적어도 하나를 포함하는 총 프레임 수
SMB 읽기 응답 및 클라이언트에 전송된 총 바이트 수
(단방향) IP 주소 10.1.0.64.

tshark -o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z io,stat,0,,FRAMES,BYTES,
"FRAMES()smb.cmd==0x2e 및 smb.response_to","BYTES()ip.dst==10.1.0.64"

==================================================== ==================================================== ====================
IO 통계
열 #0:
열 #1: 프레임
열 #2: BYTES
열 #3: FRAMES()smb.cmd==0x2e 및 smb.response_to
열 #4: BYTES()ip.dst==10.1.0.64
| 열 #0 | 열 #1 | 열 #2 | 열 #3 | 열 #4 |
시간 | 프레임 | 바이트 | 프레임 | 바이트 | 프레임 | 바이트 |
000.000- 33576 29721685 33576 29721685 870 29004801
==================================================== ==================================================== ====================

-z mac-lte,stat[,필터]
이 옵션은 LTE MAC 메시지에 대한 카운터를 활성화합니다. 당신은 얻을 것이다
최대 UE/TTI 수, 공통 메시지 및 다양한 정보
로그에 나타나는 각 UE에 대한 카운터.

예: -z 맥 - LTE, 통계.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

선택사항인 경우 필터링 제공되는 경우 통계는 해당 항목에 대해서만 계산됩니다.
해당 필터와 일치하는 프레임. 예시: -z "mac-lt,stat,mac-lti.rnti3000">
값이 3000보다 큰 할당된 RNTI가 있는 UE에 대한 통계만 수집합니다.

-z 메가코,rtd[,필터]
MEGACO에 대한 요청/응답 RTD(응답 시간 지연) 데이터를 수집합니다. (이것은
와 유사한 -z SMB, srt). 수집된 데이터는 각 알려진
MEGACO 유형, MinRTD, MaxRTD 및 AvgRTD. 추가로 당신은
중복 요청/응답, 응답하지 않은 요청, 일치하지 않는 응답
어떤 요청과 함께. 예시: -z 메가코,RTD.

선택사항인 경우 필터링 제공되는 경우 통계는 해당 항목에 대해서만 계산됩니다.
해당 필터와 일치하는 호출. 예시: -z "megaco,rtd,ip.addr==1.2.3.4" ~ 만
IP 주소 1.2.3.4에서 호스트가 교환한 MEGACO 패킷에 대한 통계를 수집합니다.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

-z mgcp,rtd[,필터]
MGCP에 대한 요청/응답 RTD(응답 시간 지연) 데이터를 수집합니다. (이것은
와 유사한 -z SMB, srt). 수집된 데이터는 알려진 각 MGCP에 대한 호출 수입니다.
유형, MinRTD, MaxRTD 및 AvgRTD. 또한 중복 수를 얻습니다.
요청/응답, 응답하지 않은 요청, 응답, 어느 것과도 일치하지 않음
요구. 예시: -z mgcp,rtd.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

선택사항인 경우 필터링 제공되는 경우 통계는 해당 항목에 대해서만 계산됩니다.
해당 필터와 일치하는 호출. 예시: -z "mgcp,rtd,ip.addr==1.2.3.4" ~ 만
IP 주소 1.2.3.4에서 호스트가 교환한 MGCP 패킷에 대한 통계를 수집합니다.

-z 프로토 콜인포,필터링,들
모두 추가 들 한 줄 요약의 정보 열에 대한 패킷 값
산출. 이 기능을 사용하여 Info 열에 임의의 필드를 추가할 수 있습니다.
해당 열의 일반적인 내용에 추가합니다. 들 표시 필터 이름입니다.
값이 정보 열에 배치되어야 하는 필드의. 필터링 필터이다
필드 값이 표시될 패킷을 제어하는 ​​문자열
정보 열. 들 패킷에 대한 정보 열에만 표시됩니다.
어떤 일치 필터링.

참고: 다음을 위해 티샤크 추출할 수 있도록 들 패킷의 값,
들 의 일부여야 합니다. 필터링 끈. 그렇지 않은 경우 티샤크 못할 것이다
그 가치를 추출합니다.

모든 정보 열에 "nfs.fh.hash" 필드를 추가하는 간단한 예의 경우
"nfs.fh.hash" 필드를 포함하는 패킷, 사용

-z 프로토, colinfo, nfs.fh.hash, nfs.fh.hash

Info 열에 "nfs.fh.hash"를 넣으려면 호스트에서 오는 패킷에 대해서만
1.2.3.4 사용:

-z "proto,colinfo,nfs.fh.hash && ip.src==1.2.3.4,nfs.fh.hash"

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

-z rlc-lte,상태[,필터]
이 옵션은 LTE RLC 메시지에 대한 카운터를 활성화합니다. 당신은 얻을 것이다
에 나타나는 각 UE에 대한 공통 메시지 및 다양한 카운터에 대한 정보
일지.

예: -z rlc-lte,통계.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

선택사항인 경우 필터링 제공되는 경우 통계는 해당 항목에 대해서만 계산됩니다.
해당 필터와 일치하는 프레임. 예시: -z "rlc-lte,stat,rlc-lte.ueid3000">
UEId가 3000보다 큰 UE에 대한 통계만 수집합니다.

-z rpc, 프로그램
알려진 모든 ONC-RPC 프로그램/버전에 대한 호출/응답 SRT 데이터를 수집합니다. 데이터
수집된 것은 각 프로토콜/버전, MinSRT, MaxSRT 및 AvgSRT에 대한 호출 수입니다.
이 옵션은 명령줄에서 한 번만 사용할 수 있습니다.

-z rpc, srt,프로그램,버전[,필터링]
에 대한 호출/응답 SRT(Service Response Time) 데이터 수집 프로그램/버전. 데이터
수집된 것은 각 절차, MinSRT, MaxSRT, AvgSRT 및
각 절차에 소요된 총 시간.

예: -z rpc,srt,100003,3 NFS v3에 대한 데이터를 수집합니다.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

선택사항인 경우 필터링 제공되는 경우 통계는 해당 항목에 대해서만 계산됩니다.
해당 필터와 일치하는 호출.

예: -z rpc,srt,100003,3,nfs.fh.hash==0x12345678 NFS v3 SRT를 수집합니다.
특정 파일에 대한 통계.

-z rtp, 스트림
모든 RTP 스트림에 대한 통계를 수집하고 최대값을 계산합니다. 델타, 최대 그리고 의미
지터 및 패킷 손실 비율.

-z scsi, srt,cmdset[,필터링]
SCSI 명령 집합에 대한 호출/응답 SRT(서비스 응답 시간) 데이터 수집 cmdset.

명령 집합은 0:SBC 1:SSC 5:MMC입니다.

수집된 데이터는 각 절차, MinSRT, MaxSRT 및
평균 SRT.

예: -z scsi,srt,0 SCSI 블록 명령(SBC)에 대한 데이터를 수집합니다.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

선택사항인 경우 필터링 제공되는 경우 통계는 해당 항목에 대해서만 계산됩니다.
해당 필터와 일치하는 호출.

예: -z scsi,srt,0,ip.addr==1.2.3.4 에 대한 SCSI SBC SRT 통계를 수집합니다.
특정 iscsi/ifcp/fcip 호스트.

-z 한 모금, 통계[,필터]
이 옵션은 SIP 메시지에 대한 카운터를 활성화합니다. 당신은 수를 얻을 것이다
각 SIP 방법 및 각 SIP 상태 코드의 발생. 또한 당신은 또한
재전송된 SIP 메시지 수를 가져옵니다(SIP over UDP에만 해당).

예: -z 한 모금, 통계.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

선택사항인 경우 필터링 제공되는 경우 통계는 해당 항목에 대해서만 계산됩니다.
해당 필터와 일치하는 호출. 예시: -z "sip,stat,ip.addr==1.2.3.4" ~ 만
IP 주소 1.2.3.4에서 호스트가 교환한 SIP 패킷에 대한 통계를 수집합니다.

-z smb, sids
이 기능을 사용할 때 티샤크 발견된 모든 SID가 포함된 보고서를 인쇄합니다.
및 계정 이름 매핑. 계정 이름이 알려진 해당 SID만
표로 제시한다.

이 기능이 작동하려면 다음 중 하나를 활성화해야 합니다.
환경 설정에서 "Edit/Preferences/Protocols/SMB/Snoop SID to name mappings" 또는
다음을 지정하여 기본 설정을 재정의할 수 있습니다. -o "smb.sid_name_snooping:TRUE" on
전에, 티샤크 명령 행.

현재 사용하고 있는 방법 티샤크 SID->이름 매핑을 찾는 것은 상대적으로
향후 확장에 대한 희망으로 제한됩니다.

-z SMB,srt[,필터링]
SMB에 대한 호출/응답 SRT(서비스 응답 시간) 데이터를 수집합니다. 수집된 데이터는
각 SMB 명령, MinSRT, MaxSRT 및 AvgSRT에 대한 호출 수.

예: -z SMB, srt

데이터는 모든 일반 SMB 명령에 대해 별도의 테이블로 표시됩니다.
Transaction2 명령 및 모든 NT 트랜잭션 명령. 해당 명령만
캡처에 표시되면 해당 통계가 표시됩니다. 의 첫 번째 명령만
xAndX 명령 체인이 계산에 사용됩니다. 그래서 일반적인
SessionSetupAndX + TreeConnectAndX 체인, SessionSetupAndX 호출만
통계에 사용됩니다. 이것은 향후 수정될 수 있는 결함입니다.

이 옵션은 명령줄에서 여러 번 사용할 수 있습니다.

선택사항인 경우 필터링 제공되는 경우 통계는 해당 항목에 대해서만 계산됩니다.
해당 필터와 일치하는 호출.

예: -z "smb,srt,ip.addr==1.2.3.4" SMB 패킷에 대한 통계만 수집합니다.
IP 주소 1.2.3.4에서 호스트에 의해 교환됩니다.

--캡처-코멘트
출력 파일에 캡처 주석을 추가합니다.

이 옵션은 pcapng 형식의 새 출력 파일이 생성된 경우에만 사용할 수 있습니다.
출력 파일당 하나의 캡처 주석만 설정할 수 있습니다.

--disable-프로토콜
proto_name의 분석을 비활성화합니다.

--활성화 휴리스틱
휴리스틱 프로토콜의 해부를 활성화합니다.

--비활성화 휴리스틱
휴리스틱 프로토콜의 해부를 비활성화합니다.

포착 FILTER 통사론

의 매뉴얼 페이지를 참조하십시오. pcap 필터(7) 또는 그것이 존재하지 않는 경우, TCP 덤프(8), 또는
존재하지 않는다, .

독서 FILTER 통사론

필터링 가능한 프로토콜 및 프로토콜 필드의 전체 테이블 티샤크 ~을 보아라.
wireshark 필터(4) 매뉴얼 페이지.

onworks.net 서비스를 사용하여 tshark 온라인 사용