这是 tshark 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
tshark - 转储和分析网络流量
概要
鲨鱼 [ -2 [ -a ] ...
[ -b ] ... [ -B ]
[ -c ] [ -C ]
[ -d == , ] [ -D [ -e ]
[ -E ] [ -f ] [ -F ] [ -g [ -h ]
[ -H ] [ -i |- ] [ -I [ -K ] [ -l ]
[ -L [ -n [ -N ] [ -o ] ...
[ -O ] [ -p [ -P [ -q [ -Q [ -r ] [ -R ]
[ -s ] [ -S ] [ -t a|ad|adoy|d|dd|e|r|u|ud|udoy ]
[ -T 字段|pdml|ps|psml|文本] [ -u ] [ -v [ -V [ -w |- ]
[ -W ] [ -x [ -X ] [ -y ]
[ -Y ] [ -z ] [ --捕获评论 ]
[ ]
鲨鱼 -G [ ]
商品描述
鲨鱼 是一个网络协议分析器。 它可以让您从现场捕获数据包数据
网络,或从先前保存的捕获文件中读取数据包,或者打印已解码的
这些数据包的形式输出到标准输出或将数据包写入文件。 鲨鱼's
本机捕获文件格式是 电容 格式,这也是使用的格式 转储 和
各种其他工具。
没有设置任何选项, 鲨鱼 会很像 转储. 它将使用 pcap 库
从第一个可用网络接口捕获流量并显示摘要行
在每个接收到的数据包的标准输出上。
鲨鱼 能够检测、读取和写入所支持的相同捕获文件
Wireshark的. 输入文件不需要特定的文件扩展名; 文件格式和
将自动检测可选的 gzip 压缩。 接近开始的时候
说明部分 Wireshark的(1)或
是对
方式 Wireshark的 处理这个,这是相同的方式 沙克 处理这个。
压缩文件支持使用(因此需要)zlib 库。 如果 zlib
图书馆不存在, 鲨鱼 将编译,但将无法读取压缩文件。
如果 -w 未指定选项, 鲨鱼 将 a 的文本写入标准输出
它捕获或读取的数据包的解码形式。 如果 -w 选项被指定, 鲨鱼
将数据包的原始数据以及
数据包的时间戳。
在编写解码形式的数据包时, 鲨鱼 默认情况下,写一个摘要行
包含首选项文件指定的字段(也是字段
显示在数据包列表窗格中 Wireshark的),虽然如果它像这样写数据包
捕获它们,而不是从保存的捕获文件中写入数据包,它不会显示
“帧数”字段。 如果 -V 选项被指定,它写的是一个视图
数据包的详细信息,显示数据包中所有协议的所有字段。 如果 -O
选项被指定,它只会显示指定的完整协议。 使用输出
"鲨鱼 -G 协议" 以查找您可以指定的协议的缩写。
如果要将数据包的解码形式写入文件,请运行 鲨鱼 没有 -w
选项,并将其标准输出重定向到文件(执行 而不去 使用 -w 选项)。
将数据包写入文件时, 鲨鱼,默认情况下,将文件写入 电容 格式,和
将它看到的所有数据包写入输出文件。 这 -F 选项可用于
指定写入文件的格式。 此可用文件格式列表是
显示的 -F 没有值的标志。 但是,您不能指定文件格式
现场捕捉。
读取过滤器 鲨鱼,它允许您选择要解码的数据包或
写入文件,功能非常强大; 更多的字段可以过滤 鲨鱼 比其他
协议分析器,并且可用于创建过滤器的语法更丰富。 作为
鲨鱼 取得进展,预计读取过滤器中将允许越来越多的协议字段。
使用 pcap 库执行数据包捕获。 捕获过滤器语法如下
pcap 库的规则。 此语法与读取过滤器语法不同。 一种
也可以在抓包的时候指定read filter,只有通过read的包
过滤器将被显示或保存到输出文件中; 但是请注意,捕获过滤器
比读取过滤器更有效,并且可能更难 鲨鱼 保持
如果为实时捕获指定了读取过滤器,则网络繁忙。
捕获或读取过滤器可以用 -f or -R 选项,分别为
在这种情况下,必须将整个过滤器表达式指定为单个参数(即
意味着如果它包含空格,则必须用引号引起来),或者可以用命令-
选项参数后面的行参数,在这种情况下,所有参数后面的
过滤器参数被视为过滤器表达式。 仅支持捕获过滤器
进行实时捕捉时; 进行实时捕获时支持读取过滤器
读取捕获文件,但需要 TShark 在过滤时做更多的工作,所以你可能会
如果您使用读取过滤器,则更有可能在重负载下丢失数据包。 如果过滤器
在选项参数之后用命令行参数指定,它是一个捕获过滤器
如果正在完成捕获(即,如果没有 -r 选项已指定)和读取过滤器,如果
正在读取捕获文件(即,如果 -r 选项已指定)。
这个 -G option 是一种特殊的模式,它只会导致 沙克 转储几种类型中的一种
内部词汇表,然后退出。
配置
-2 执行两遍分析。 这会导致 tshark 缓冲输出,直到整个
第一遍完成,但允许它填写需要未来知识的领域,
例如“帧# 中的响应”字段。 还允许重新组装框架依赖性
计算正确。
-一种
指定一个标准来指定何时 鲨鱼 是停止写入捕获文件。
标准的形式是 测试:折扣值,在 Moku:Pro 上 测试 是其中之一:
为期:折扣值 停止写入捕获文件后 折扣值 秒过去了。
文件大小:折扣值 在达到大小后停止写入捕获文件 折扣值 千字节。 如果
此选项与 -b 选项一起使用, 鲨鱼 将停止写入
当前捕获文件,如果达到文件大小,则切换到下一个。 阅读时
一个捕获文件, 鲨鱼 读取字节数后将停止读取文件
超过这个数字(完整的数据包将被读取,所以比这个数字更多的字节
可以读)。 请注意,文件大小限制为最大值 2 GiB。
档:折扣值 停止写入捕获文件后 折扣值 写入的文件数。
-b
原因 鲨鱼 以“多个文件”模式运行。 在“多个文件”模式下, 鲨鱼 将
写入多个捕获文件。 当第一个捕获文件填满时, 鲨鱼 将
切换写入下一个文件,依此类推。
创建的文件名基于给定的文件名 -w 选项,号码
文件和创建日期和时间,例如 outfile_00001_20050604120117.pcap,
outfile_00002_20050604120523.pcap,...
随着 档 选项也可以形成一个“环形缓冲区”。 这将填满
新文件直到指定的文件数,此时 鲨鱼 将丢弃
数据并开始写入该文件,依此类推。 如果 档 选项
未设置,新文件被填满,直到捕获停止条件之一匹配(或
直到磁盘已满)。
标准的形式是 键:折扣值,在 Moku:Pro 上 键 是其中之一:
为期:折扣值 之后切换到下一个文件 折扣值 秒过去了,即使
当前文件未完全填满。
文件大小:折扣值 达到大小后切换到下一个文件 折扣值 千字节。 注意
文件大小限制为最大值 2 GiB。
档:折扣值 之后从第一个文件重新开始 折扣值 写入的文件数
(形成环形缓冲区)。 此值必须小于 100000。应谨慎使用
使用大量文件时:某些文件系统不能在一个文件中处理许多文件
单目录好。 这 档 标准要求 为期 or 文件大小 成为
指定控制何时转到下一个文件。 需要注意的是,每个 -b
参数只需要一个标准; 要指定两个标准,每个标准都必须在前面
由 -b 选项。
计费示例: -b 文件大小:1000 -b 文件:5 产生五个大小文件的环形缓冲区
每个 XNUMX 兆字节。
-B
设置捕获缓冲区大小(以 MiB 为单位,默认为 2 MiB)。 这是捕获使用的
驱动程序缓冲数据包数据,直到该数据可以写入磁盘。 如果你遇到
捕获时丢包,请尝试增加此大小。 请注意,同时 沙克
默认情况下尝试将缓冲区大小设置为 2 MiB,并且可以被告知将其设置为
较大的值,您正在捕获的系统或界面可能会默默地限制
捕获缓冲区大小为较低的值或将其提高为较高的值。
这在具有 libpcap 1.0.0 或更高版本的 UNIX 系统和 Windows 上可用。 这是
在具有较早版本 libpcap 的 UNIX 系统上不可用。
此选项可多次出现。 如果在第一次出现之前使用 -i
选项,它设置默认的捕获缓冲区大小。 如果在一个之后使用 -i 选项,它设置
最后一个指定的接口的捕获缓冲区大小 -i 选项发生
在此选项之前。 如果没有特别设置捕获缓冲区大小,则默认
而是使用捕获缓冲区大小。
-C
设置捕获实时数据时要读取的最大数据包数。 如果阅读一个
捕获文件,设置要读取的最大数据包数。
-C
使用给定的配置文件运行。
-d == ,
像 Wireshark 的 解码 如... 功能,这使您可以指定图层类型应如何
被解剖。 如果有问题的图层类型(例如, 端口 or UDP端口 查阅
TCP 或 UDP 端口号)具有指定的选择器值,应剖析数据包
作为指定的协议。
计费示例: -d tcp.端口==8888,http 将在 TCP 端口 8888 上运行的任何流量解码为
HTTP。
计费示例: -d tcp.端口==8888:3,http 将解码通过 TCP 端口 8888 运行的任何流量,
8889 或 8890 作为 HTTP。
计费示例: -d tcp.端口==8888-8890,http 将解码通过 TCP 端口运行的任何流量
8888、8889 或 8890 作为 HTTP。
使用无效的选择器或协议将打印出有效选择器的列表和
协议名称,分别。
计费示例: -d . 是获取有效选择器列表的快速方法。
计费示例: -d 以太类型==0x0800。 是一种快速获取协议列表的方法
使用以太类型选择。
-D 打印接口列表 鲨鱼 可以捕获,然后退出。 对于每个
网络接口、编号和接口名称,可能后跟文本
接口的描述,被打印出来。 接口名称或编号可以是
提供给 -i 选项以指定要捕获的接口。
这在没有列出它们的命令的系统上很有用(例如,Windows
系统,或 UNIX 系统缺乏 使用ifconfig -a); 该数字在 Windows 上很有用
2000 及更高版本的系统,其中接口名称是一个有点复杂的字符串。
请注意,“可以捕获”意味着 鲨鱼 能够打开该设备进行现场直播
捕获。 根据您的系统,您可能需要从一个帐户运行 tshark
能够捕获网络流量的特殊权限(例如,作为 root)。 如果
鲨鱼 -D 不是从这样的帐户运行,它不会列出任何接口。
-e
在字段列表中添加一个字段以显示如果 -T 领域 被选中。 这个选项
可以在命令行上多次使用。 必须至少提供一个字段
如果 -T 领域 选项被选中。 列名可以使用前缀“_ws.col”。
计费示例: -e 帧数 -e 地址 -e UDP -e _ws.col.信息
给出一个协议而不是单个字段将打印关于的多个数据项
协议作为单个字段。 默认情况下,字段由制表符分隔。
-E 控制打印字段的格式。
-E
设置控制字段打印的选项 -T 领域 被选中。
选项包括:
标题=y|n If y, 打印使用给出的字段名称列表 -e 作为第一行
输出; 字段名称将使用与字段相同的字符分隔
值。 默认为 n.
分隔符=/t|/s|设置用于字段的分隔符。 如果 /t 标签
将被使用(这是默认值),如果 /s,将使用单个空格。 否则任何
可以使用命令行可以接受的字符作为选项的一部分。
出现次数=f|l|a 选择要用于具有多个字段的事件
发生。 如果 f 将使用第一次出现,如果 l 最后一次出现将是
使用,如果 a 将使用所有出现的次数(这是默认设置)。
聚合器=,|/s|设置聚合字符以用于具有
多次出现。 如果 , 将使用逗号(这是默认值),如果 /s,以
将使用单个空间。 否则任何可以被接受的字符
可以使用命令行作为选项的一部分。
报价=d|s|n 设置用于包围字段的引号字符。 d 使用双引号,
s 单引号, n 没有引号(默认)。
-F
设置捕获过滤器表达式。
此选项可多次出现。 如果在第一次出现之前使用 -i
选项,它设置默认的捕获过滤器表达式。 如果在一个之后使用 -i 选项,它
为最后一个指定的接口设置捕获过滤器表达式 -i 选项
发生在此选项之前。 如果未设置捕获过滤器表达式
具体来说,如果提供,则使用默认的捕获过滤器表达式。
-F
设置使用写入的输出捕获文件的文件格式 -w 选项。 该
用写的输出 -w 选项是原始数据包数据,而不是文本,因此没有 -F
请求文本输出的选项。 选项 -F 没有值将列出可用
格式。
-g 此选项导致使用组读取权限创建输出文件
(意味着输出文件可以被调用用户的其他成员读取
组)。
-G [ ]
这个 -G 选项会导致 沙克 转储几种类型的词汇表中的一种,然后
出口。 如果没有指定特定的词汇表类型,则 领域 报告将是
默认生成。
可用的报告类型包括:
列格式 转储 tshark 理解的列格式。 每个记录有一个
线。 这些字段以制表符分隔。
* 字段 1 = 格式字符串(例如“%rD”)
* 字段 2 = 格式字符串的文本描述(例如“目标端口(已解析)”)
当前首选项 将当前首选项文件的副本转储到标准输出。
解码 将“层类型”/“解码为”关联转储到标准输出。 有一个
每行记录。 这些字段以制表符分隔。
* 字段 1 = 层类型,例如“tcp.port”
* 字段 2 = 十进制选择器
* 字段 3 = “解码为”名称,例如“http”
默认首选项 将默认首选项文件转储到标准输出。
解剖表 将解剖表列表转储到标准输出。 每个记录有一个
线。 这些字段以制表符分隔。
* 字段 1 = 解剖表名称,例如“tcp.port”
* 字段 2 = 用于 GUI 中解剖器表的名称
* 字段 3 = 类型(ftenum 类型的文本表示)
* 字段 4 = 显示基数(对于整数类型)
字段数 将标头字段的数量转储到标准输出。
领域 将注册数据库的内容转储到标准输出。 一个独立的
程序可以获取此输出并将其格式化为漂亮的表格或 HTML 或其他任何内容。
每行有一个记录。 每条记录要么是一个协议要么是一个头字段,
由第一个字段区分。 这些字段以制表符分隔。
* 协议
* ----------
* 字段 1 = 'P'
* 字段 2 = 描述性协议名称
* 字段 3 = 协议缩写
*
* 标题字段
* --------------
* 字段 1 = 'F'
* 字段 2 = 描述性字段名称
* 字段 3 = 字段缩写
* 字段 4 = 类型(ftenum 类型的文本表示)
* 字段 5 = 父协议缩写
* 字段 6 = 显示基数(对于整数类型); FT_BOOLEAN 的“父位域宽度”
* 字段 7 = 位掩码:格式:十六进制:0x....
* 字段 8 = 描述字段的简介
类型 转储 tshark 理解的“ftypes”(基本类型)。 有一个
每行记录。 这些字段以制表符分隔。
* 字段 1 = FTYPE(例如“FT_IPv6”)
* 字段 2 = 类型的文本描述(例如“IPv6 地址”)
启发式解码 转储当前安装的启发式解码。 有一个
每行记录。 这些字段以制表符分隔。
* 字段 1 = 底层解剖器(例如“tcp”)
* 字段 2 = 启发式解码器的名称(例如 ucp”)
* 字段 3 = 启发式启用(例如“T”或“F”)
插件 转储当前安装的插件。 每行有一个记录。 这
字段以制表符分隔。
* 字段 1 = 插件库(例如“gryphon.so”)
* 字段 2 = 插件版本(例如 0.0.4)
* 字段 3 = 插件类型(例如“解剖器”或“点击”)
* 字段 4 = 插件文件的完整路径
协议 将注册数据库中的协议转储到标准输出。 一个独立的
程序可以获取此输出并将其格式化为漂亮的表格或 HTML 或其他任何内容。
每行有一个记录。 这些字段以制表符分隔。
* 字段 1 = 协议名称
* 字段 2 = 协议短名称
* 字段 3 = 协议过滤器名称
价值观 转储 value_strings、range_strings 或 true/false 字符串的字段
拥有他们。 每行有一个记录。 字段以制表符分隔。 有三种
记录类型:值字符串、范围字符串和真/假字符串。 第一个领域,
“V”、“R”或“T”表示记录的类型。
* 值字符串
* --------------
* 字段 1 = 'V'
* 字段 2 = 此值字符串对应的字段缩写
* 字段 3 = 整数值
* 字段 4 = 字符串
*
* 范围字符串
* --------------
* 字段 1 = 'R'
* 字段 2 = 此范围字符串对应的字段缩写
* 字段 3 = 整数值:下限
* 字段 4 = 整数值:上限
* 字段 5 = 字符串
*
* 真/假字符串
* ------------------
* 字段 1 = 'T'
* 字段 2 = 此真/假字符串对应的字段缩写
* 字段 3 = 真字符串
* 字段 4 = 假字符串
-h 打印版本和选项并退出。
-H
从“hosts”文件中读取条目列表,然后将其写入捕获
文件。 暗示 -W n. 可以多次调用。
“hosts”文件格式记录在http://en.wikipedia.org/wiki/Hosts_(文件)>。
-一世| ——
设置用于实时数据包捕获的网络接口或管道的名称。
网络接口名称应与“鲨鱼 -D“ (描述
以上); 一个数字,如“鲨鱼 -D", 也可以使用。如果您使用的是 UNIX,
"netstat命令 -i“或”使用ifconfig -a" 也可能用于列出接口名称,尽管不是
所有版本的 UNIX 都支持 -a 选项 使用ifconfig.
如果没有指定接口, 鲨鱼 搜索接口列表,选择
如果有任何非环回接口,则选择第一个非环回接口,并选择
如果没有非环回接口,则为第一个环回接口。 如果没有
接口, 鲨鱼 报告错误并且不开始捕获。
管道名称应该是 FIFO(命名管道)的名称或“-”以从中读取数据
标准输入。 从管道读取的数据必须采用标准 pcap 格式。
此选项可多次出现。 从多个接口捕获时,
捕获文件将以 pcap-ng 格式保存。
注:Win32版本 鲨鱼 不支持从管道捕获!
-I 将界面置于“监控模式”; 这仅在 IEEE 802.11 Wi-Fi 上受支持
接口,并且仅在某些操作系统上受支持。
请注意,在监控模式下,适配器可能会与网络断开关联
它是关联的,因此您将无法使用任何无线网络
适配器。 这可能会阻止访问网络服务器上的文件或解析主机
名称或网络地址,如果您在监控模式下捕获并且未连接
使用另一个适配器连接到另一个网络。
此选项可多次出现。 如果在第一次出现之前使用 -i
选项,它为所有接口启用监视模式。 如果在一个之后使用 -i 选项,
它为最后一个指定的接口启用监控模式 -i 选项
发生在此选项之前。
-K
从指定的密钥表文件加载 kerberos 加密密钥。 可以使用这个选项
多次从多个文件加载密钥。
计费示例: -K krb5.密钥表
-l 在打印每个数据包的信息后刷新标准输出。 (这是
严格来说,不是行缓冲的,如果 -V 被指定; 然而,它与
行缓冲如果 -V 未指定,因为每个数据包只打印一行,
并作为 -l 通常在将实时捕获传输到程序或脚本时使用,以便
数据包的输出在看到和解剖数据包后立即显示,它应该
与真正的行缓冲一样工作。 我们这样做是为了解决不足
在 Microsoft Visual C++ C 库中。)
这在管道输出时可能很有用 鲨鱼 到另一个程序,因为这意味着
输出通过管道传输到的程序将看到数据包的解剖数据
尽快 鲨鱼 看到数据包并生成该输出,而不是看到它
仅当包含该数据的标准输出缓冲区填满时。
-L 列出接口支持的数据链路类型并退出。 报告的链接类型
可用于 -y 选项。
-n 禁用网络对象名称解析(如主机名、TCP 和 UDP 端口名称); 这
-N 标志可能会覆盖这个。
-N
仅针对特定类型的地址和端口号启用名称解析,使用
其他类型的地址和端口号的名称解析关闭。 这旗
覆盖 -n 如果两者 -N 和 -n 存在。 如果两者 -N 和 -n 标志不存在,
所有名称解析都已打开。
参数是一个可能包含字母的字符串:
C 启用并发(异步)DNS 查找
d 启用从捕获的 DNS 数据包解析
m 启用 MAC 地址解析
n 启用网络地址解析
N 启用使用外部解析器(例如,DNS)进行网络地址解析
t 启用传输层端口号解析
-o :
设置首选项值,覆盖默认值和从
首选项文件。 选项的参数是形式的字符串 首选项:折扣值,
协调 首选项 是首选项的名称(与出现的名称相同
在首选项文件中),和 折扣值 是应该设置的值。
-O
类似于 -V 选项,但导致 鲨鱼 只显示逗号的详细视图-
分隔列表 协议 指定,而不是所有协议的详细视图。
使用输出“鲨鱼 -G 协议" 查找您使用的协议的缩写
可以指定。
-p 别 将界面置于混杂模式。 请注意,该界面可能在
由于其他原因混杂模式; 因此, -p 不能用来确保
只有被捕获的流量是发送到或来自机器的流量 鲨鱼
正在运行,广播流量和多播流量到该地址接收的地址
机。
此选项可多次出现。 如果在第一次出现之前使用 -i
选项,不会将任何接口置于混杂模式。 如果在一个之后使用 -i
选项,最后指定的接口 -i 选项出现在此选项之前
不会进入混杂模式。
-P 解码并显示数据包摘要,即使使用 -w
选项。
-q 抓包时,不显示抓包的连续计数
通常在将捕获保存到文件时显示; 相反,只需在结尾处显示
捕获,捕获的数据包计数。 在支持 SIGINFO 信号的系统上,
例如各种 BSD,您可以通过键入您的
“状态”字符(通常是 control-T,虽然它可能被设置为“禁用”
至少在某些 BSD 上默认,因此您必须明确设置它才能使用它)。
读取捕获文件时,或捕获但不保存到文件时,请勿打印
包信息; 如果您使用的是 -z 计算统计的选项
并且不希望打印数据包信息,只打印统计信息。
-Q 抓包时,只显示真正的错误。 这输出小于 -q
选项,因此接口名称和总数据包计数以及捕获的结束不是
发送到标准错误。
-r
从中读取数据包数据 入档, 可以是任何支持的捕获文件格式(包括
gzip 压缩文件)。 可以在此处使用命名管道或标准输入 (-),但只能使用
某些(未压缩的)捕获文件格式(特别是:可以读取的格式)
不向后求)。
-R
导致指定的过滤器(使用读取/显示过滤器的语法,而不是
的捕获过滤器)将在第一次分析期间应用。 包不
匹配过滤器不会被考虑用于未来的传递。 只有有意义
多次通过,见-2。 对于单通道解剖的常规过滤,请参阅 -Y。
请注意,诸如“帧# 中的响应”之类的前瞻性字段不能与
此过滤器,因为在应用此过滤器时不会计算它们。
-s
设置捕获实时数据时要使用的默认快照长度。 不超过 斯普林
每个网络数据包的字节将被读入内存,或保存到磁盘。 值为 0
指定快照长度为65535,以便捕获完整的数据包; 这是
默认。
此选项可多次出现。 如果在第一次出现之前使用 -i
选项,它设置默认快照长度。 如果在一个之后使用 -i 选项,它设置
最后指定的接口的快照长度 -i 选项发生在之前
这个选项。 如果快照长度没有特别设置,默认快照
如果提供,则使用长度。
-S
设置要在数据包之间打印的行分隔符。
-ta|ad|adoy|d|dd|e|r|u|ud|udoy
设置在摘要行中打印的数据包时间戳的格式。 格式可以是
之一:
a 绝对时间:绝对时间,作为您所在时区的当地时间,是您所在时区的实际时间
数据包被捕获,没有显示日期
ad 绝对日期:绝对日期,显示为 YYYY-MM-DD,时间显示为本地
您所在时区的时间,是捕获数据包的实际时间和日期
烦死了 absolute with date using day of year:绝对日期,显示为 YYYY/DOY,
和时间,作为您所在时区的本地时间,是数据包的实际时间和日期
捕获
d delta: delta 时间是自上一个数据包被捕获以来的时间
dd delta_displayed:delta_displayed 时间是自上次显示以来的时间
数据包被捕获
e 纪元:自纪元以来的时间(以秒为单位)(1 年 1970 月 00 日 00:00:XNUMX)
r 相对:相对时间是第一个数据包和
当前数据包
u UTC:绝对时间,作为 UTC,是数据包被捕获的实际时间,没有
显示日期
ud UTC 与日期:绝对日期,显示为 YYYY-MM-DD,时间,如 UTC,是
捕获数据包的实际时间和日期
乌迪 UTC with date using day of year:绝对日期,显示为 YYYY/DOY,以及
时间,作为 UTC,是捕获数据包的实际时间和日期
默认格式是相对的。
-T 字段|pdml|ps|psml|文本
设置查看解码包数据时的输出格式。 选项是一
作者:
领域 指定的字段值 -e 选项,以指定的形式
-E 选项。 例如,
-T 字段 -E 分隔符=, -E 引用=d
将生成适合导入到您的逗号分隔值 (CSV) 输出
最喜欢的电子表格程序。
PDML 数据包详细信息标记语言,一种基于 XML 的格式,用于显示已解码的详细信息
包。 此信息相当于打印的数据包详细信息 -V
旗。
ps PostScript 用于每个数据包的人类可读的单行摘要,或
多行查看每个数据包的详细信息,具体取决于 -V
标志被指定。
PSML 数据包摘要标记语言,一种基于 XML 的摘要信息格式
解码的数据包。 此信息等同于显示在
默认打印一行摘要。
文本 每个数据包的人类可读的单行摘要文本,或多行
查看每个数据包的详细信息,这取决于 -V 旗帜是
指定的。 这是默认设置。
-u
指定秒类型。 有效的选择是:
s 几秒钟
HMS 持续数小时,数分钟和数秒
-v 打印版本并退出。
-V 原因 鲨鱼 打印数据包详细信息的视图。
-w | ——
将原始数据包数据写入 输出文件 或者到标准输出,如果 输出文件 是 '-'。
注意:-w 提供原始数据包数据,而不是文本。 如果你想要文本输出,你需要
重定向标准输出(例如使用“>”),不要使用 -w 为此的选项。
-W
如果格式支持,请在文件中保存额外信息。 例如,
-F pcapng -W n
将保存主机名解析记录以及捕获的数据包。
Wireshark 的未来版本可能会自动将捕获格式更改为 包邮 as
需要。
参数是一个字符串,可能包含以下字母:
n 写入网络地址解析信息(仅限 pcapng)
-x 原因 鲨鱼 打印后打印数据包数据的十六进制和 ASCII 转储
摘要和/或详细信息,如果还显示其中之一。
-X
指定要传递给的选项 鲨鱼 模块。 扩展选项位于
申请 扩展密钥:折扣值,在 Moku:Pro 上 扩展密钥 可:
lua脚本:lua_脚本_文件名 告诉 鲨鱼 除了加载给定的脚本
默认的 Lua 脚本。
lua脚本NUM:论点 告诉 鲨鱼 将给定的参数传递给 lua 脚本
由 'num' 标识,它是 'lua_script' 命令的编号索引顺序。
例如,如果只有一个脚本加载了'-X lua_script:my.lua',那么'-X
lua_script1:foo' 会将字符串 'foo' 传递给 'my.lua' 脚本。 如果两个脚本
已加载,例如 '-X lua_script:my.lua' 和 '-X lua_script:other.lua' 在那
顺序,然后“-X lua_script2:bar”会将字符串“bar”传递给第二个 lua
脚本,即“other.lua”。
读取格式:文件格式 告诉 鲨鱼 使用给定的文件格式读入文件
(文件中给出的 -r 命令选项)。 不提供 文件格式 论证,或
无效的一个,将产生一个可用文件格式的文件以供使用。
-y
设置捕获数据包时要使用的数据链路类型。 报告的值 -L 旨在
可以使用的值。
此选项可多次出现。 如果在第一次出现之前使用 -i
选项,它设置默认的捕获链接类型。 如果在一个之后使用 -i 选项,它设置
最后指定的接口的捕获链接类型 -i 选项发生
在此选项之前。 如果没有特别设置抓包链接类型,则默认
如果提供,则使用捕获链接类型。
-Y
导致指定的过滤器(使用读取/显示过滤器的语法,而不是
的捕获过滤器)在打印解码形式的数据包之前应用或
将数据包写入文件。 匹配过滤器的数据包被打印或写入
文件; 匹配数据包所依赖的数据包(例如,片段)不会被打印出来
但被写入文件; 不匹配过滤器也不依赖的数据包是
被丢弃而不是被印刷或书写。
使用它代替 -R 来使用单通道分析进行过滤。 如果做二通
分析(见 -2)然后只有匹配读取过滤器的数据包(如果有)
检查此过滤器。
-z
积极 鲨鱼 收集各种类型的统计数据并显示结果
完成读取捕获文件。 使用 -q 如果您正在阅读捕获文件,请标记
并且只想要打印统计信息,而不是任何每个数据包的信息。
请注意 -z 原 选项不同 - 它不会导致统计数据
捕获完成后收集并打印,它会修改常规数据包
摘要输出以包括使用选项指定的字段的值。 所以
你不得使用 -q 选项,因为该选项会抑制打印
常规的数据包摘要输出,也不得使用 -V 选项,因为那样
导致打印数据包详细信息而不是数据包摘要信息。
目前实施的统计数据有:
-z 帮助
显示所有可能的值 -z.
-z 法新社,srt[,过滤]
显示 Apple 归档协议服务响应时间统计信息。
-z 骆驼,srt
-z 相比,开始,停止,TTL[0|1],订单[0|1],方差[,过滤]
如果可选 过滤 指定,只有那些匹配过滤器的数据包才会
在计算中使用。
-z 转化率,类型[,过滤]
创建一个表格,列出可以在捕获中看到的所有对话。
类型 指定我们要为其生成会话端点类型
统计数据; 目前支持的有:
“蓝牙”蓝牙地址
“eth”以太网地址
“fc”光纤通道地址
“fddi”FDDI 地址
“ip” IPv4 地址
“ipv6” IPv6 地址
“ipx”IPX 地址
"jxta" JXTA 消息地址
“ncp”NCP 连接
“rsvp”RSVP 连接
“sctp” SCTP 地址
"tcp" TCP/IP 套接字对 IPv4 和 IPv6 均受支持
“tr”令牌环地址
“usb”USB地址
"udp" UDP/IP 套接字对同时支持 IPv4 和 IPv6
“wlan”IEEE 802.11 地址
如果可选 过滤 指定,只有那些匹配过滤器的数据包才会
在计算中使用。
该表为每个会话显示一行并显示编号
每个方向的数据包/字节数以及数据包/字节的总数。
表格按照总帧数排序。
-z dcerpc,srt,uid,主要.未成年人[,过滤]
为 DCERPC 接口收集呼叫/回复 SRT(服务响应时间)数据 uid,
版本 主要.未成年人. 收集的数据是每个过程的调用次数,
MinSRT、MaxSRT 和 AvgSRT。
计费示例: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0 将收集数据
用于 CIFS SAMR 接口。
此选项可以在命令行上多次使用。
如果可选 过滤 提供,统计数据将只计算那些
匹配该过滤器的调用。
计费示例: -z dcerpc,srt,12345778-1234-abcd-ef00-0123456789ac,1.0,ip.addr==1.2.3.4
将收集特定主机的 SAMR SRT 统计信息。
-z 引导,统计[,过滤]
显示 DHCP (BOOTP) 统计信息。
-z 直径,avp[,命令.code,部分,部分,...]
此选项可以从大尺寸中提取最重要的直径场。
捕获文件。 每个具有匹配的直径消息的文本行正好是一个文本行
直径.cmd.code 将被打印。
可以指定空径指令代码或'*'来加工任何 直径.cmd.code
计费示例: -z 直径,avp 从直径消息中提取默认字段集。
计费示例: -z 直径,avp,280 从直径 DWR 中提取默认字段集
消息。
计费示例: -z 直径,avp,272 从直径 CC 消息中提取默认字段集。
从直径 CC 消息中提取最重要的字段:
鲨鱼 -r 文件.cap.gz -q -z
直径,avp,272,CC-Request-Type,CC-Request-Number,Session-Id,Subscription-Id-Data,Rating-Group,Result-Code
将为每个直径消息打印以下字段:
“帧”帧号。
"time" 帧到达的 Unix 时间。
“src”源地址。
“srcport”源端口。
“dst”目标地址。
“dstport”目标端口。
"proto" 常量字符串 'diameter',可用于 tshark 输出的后期处理。 例如 grep/sed/awk。
“msgnr”序列。 帧内的直径消息数。 例如,'2' 表示同一帧中的第三个直径消息。
"is_request" '0' 如果消息是一个请求,'1' 如果消息是一个回答。
“cmd”diameter.cmd_code,例如“272”用于信用控制消息。
“req_frame” 找到匹配请求的帧数或“0”。
“ans_frame”找到匹配答案的帧数或“0”。
“resp_time”响应时间(以秒为单位),如果在跟踪中找不到匹配的请求/响应,则为“0”。 例如在捕获的开始或结束。
-z 直径,avp 选项比 -V -T 文本 or -T PDML 选项。
-z 直径,avp 选项比 -T 部分 和 -z 原件,colinfo
选项。
支持一帧中的多个直径消息。
一个直径消息中支持多个同名字段,例如
直径.订阅-Id-数据 or 直径.评级组.
请注意: 鲨鱼 -q 建议选择抑制默认值 鲨鱼 输出。
-z DNS,树[,过滤]
创建捕获的 DNS 数据包的摘要。 收集一般信息
比如 qtype 和 qclass 分布。 对于某些数据(如 qname 长度或 DNS
有效载荷) 最大值、最小值和平均值也会显示出来。
-z 端点,类型[,过滤]
创建一个表,列出可以在捕获中看到的所有端点。 类型
指定我们要为其生成统计信息的端点类型;
目前支持的有:
“蓝牙”蓝牙地址
“eth”以太网地址
“fc”光纤通道地址
“fddi”FDDI 地址
“ip” IPv4 地址
“ipv6” IPv6 地址
“ipx”IPX 地址
"jxta" JXTA 消息地址
“ncp”NCP 连接
“rsvp”RSVP 连接
“sctp” SCTP 地址
"tcp" TCP/IP 套接字对 IPv4 和 IPv6 均受支持
“tr”令牌环地址
“usb”USB地址
"udp" UDP/IP 套接字对同时支持 IPv4 和 IPv6
“wlan”IEEE 802.11 地址
如果可选 过滤 指定,只有那些匹配过滤器的数据包才会
在计算中使用。
该表为每个会话显示一行并显示编号
每个方向的数据包/字节数以及数据包/字节的总数。
表格按照总帧数排序。
-z 专家[,错误|,警告|,注意|,聊天][,筛选]
收集有关所有专家信息的信息,并按顺序显示它们,
按严重性分组。
计费示例: -z 专家,啜饮 将显示所有严重程度的专家项目
匹配 sip 协议。
此选项可以在命令行上多次使用。
如果可选 过滤 提供,统计数据将只计算那些
匹配该过滤器的调用。
计费示例: -z “专家,注意,tcp” 只会为框架收集专家项目
包括 tcp 协议,严重性为 note 或更高。
-z 跟随,PROT,模式,过滤[,范围]
显示两个节点之间的 TCP 或 UDP 流的内容。 发送的数据
第二个节点以制表符为前缀,以区别于发送的数据
第一个节点。
PROT 指定传输协议。 它可以是以下之一:
TCP协议
UDP UDP
ssl ssl
模式 指定输出模式。 它可以是以下之一:
ascii ASCII 输出,带有不可打印字符的点
ebcdic EBCDIC 输出,带有不可打印字符的点
hex 带有偏移量的十六进制和 ASCII 数据
原始十六进制数据
由于输出在 ASCII or 退欧 模式可能包含换行符,每个的长度
输出部分加上换行符位于每个输出部分之前。
过滤 指定要显示的流。 UDP/TCP 流被选择为
流索引或 IP 地址加端口对。 已选择 SSL 流
与流索引。 例如:
ip-addr0:端口0,ip-addr1:端口1
流索引
范围 可选地指定应显示流的哪些“块”。
计费示例: -z “跟随,tcp,十六进制,1” 将显示第一个 TCP 流的内容
以“十六进制”格式。
================================================== =================
关注:tcp,hex
过滤器:tcp.stream eq 1
节点 0:200.57.7.197:32891
节点 1:200.57.7.198:2906
00000000 00 00 00 22 00 00 00 07 00 0a 85 02 07 e9 00 02 ..." .... ........
00000010 07 e9 06 0f 00 0d 00 04 00 00 00 01 00 03 00 06 ............
00000020 1f 00 06 04 00 00 ……
00000000 00 01 00 00 ....
00000026 00 02 00 00
计费示例: -z “跟随,tcp,ascii,200.57.7.197:32891,200.57.7.198:2906” 将显示
200.57.7.197 端口 32891 和 200.57.7.98 端口之间的 TCP 流的内容
2906.
================================================== =================
关注:tcp,ascii
过滤器:(为了可读性省略)
节点 0:200.57.7.197:32891
节点 1:200.57.7.198:2906
38
……”……
................
4
....
-z h225,计数器[,筛选]
计算 ITU-T H.225 消息及其原因。 在第一列中,您会得到一个列表
H.225 消息和 H.225 消息原因,发生在当前捕获
文件。 每个消息或原因的出现次数显示在
第二列。
计费示例: -z h225,柜台.
如果可选 过滤 提供,统计数据将只计算那些
匹配该过滤器的调用。 示例:使用 -z “h225,计数器,ip.addr==1.2.3.4” 至
仅收集主机在 IP 地址 225 交换的 H.1.2.3.4 数据包的统计信息。
此选项可以在命令行上多次使用。
-z h225,srt[,筛选]
为 ITU-T H.225 RAS 收集请求/响应 SRT(服务响应时间)数据。
收集的数据是每个 ITU-T H.225 RAS 消息类型的呼叫次数,最小值
SRT、最大 SRT、平均 SRT、最小数据包和最大数据包。 你会
还可以获取 Open Requests (Unresponded Requests)、Discarded Responses 的数量
(没有匹配请求的响应)和重复消息。
计费示例: -z h225,srt
此选项可以在命令行上多次使用。
如果可选 过滤 提供,统计数据将只计算那些
匹配该过滤器的调用。
计费示例: -z “h225,srt,ip.addr==1.2.3.4” 只会收集 ITU-T H.225 的统计数据
主机在 IP 地址 1.2.3.4 处交换的 RAS 数据包。
-z 主机[,ipv4][,ipv6]
以“主机”格式转储任何收集的 IPv4 和/或 IPv6 地址。 IPv4 和
默认情况下会转储 IPv6 地址。
地址是从许多来源收集的,包括标准的“主机”文件
并捕获流量。
-z hpfeeds,树[,过滤]
计算 HPFEEDS 流量的统计信息,例如按通道发布和操作码
分布。
-z http,统计,
计算 HTTP 统计分布。 显示值为 HTTP 状态
代码和 HTTP 请求方法。
-z http,树
计算 HTTP 数据包分布。 显示值为 HTTP 请求
模式和 HTTP 状态代码。
-z http_req,树
计算服务器的 HTTP 请求。 显示的值是服务器名称和
URI 路径。
-z http_srv,树
计算服务器的 HTTP 请求和响应。 对于 HTTP 请求,
显示的值为服务器 IP 地址和服务器主机名。 对于 HTTP
响应,显示的值为服务器 IP 地址和状态。
-z icmp,srt[,过滤]
计算总 ICMP 回声请求、回复、丢失和百分比丢失,以及
最小值、最大值、平均值、中位数和样本标准偏差 SRT 统计
ping 提供的典型功能。
计费示例: -z icmp,srt,ip.src==1.2.3.4 将为 ICMP 收集 ICMP SRT 统计信息
来自特定主机的回显请求数据包。
此选项可以在命令行上多次使用。
-z icmpv6,srt[,过滤]
计算总 ICMPv6 回声请求、回复、丢失和百分比丢失,以及
最小值、最大值、平均值、中位数和样本标准偏差 SRT 统计
ping 提供的典型功能。
计费示例: -z icmpv6,srt,ipv6.src==fe80::1 将收集 ICMPv6 SRT 统计信息
源自特定主机的 ICMPv6 回显请求数据包。
此选项可以在命令行上多次使用。
-z io,phs[,过滤]
创建协议层次结构统计信息,列出数据包数和字节数。 如果
没有 过滤 指定的统计将计算所有数据包。 如果一个
过滤 被指定的统计数据将只计算那些数据包
匹配过滤器。
此选项可以在命令行上多次使用。
-z IO,统计,间隔[,过滤][,过滤][,过滤] ...
收集数据包/字节统计信息以间隔 间隔 秒。
间隔 可以指定为整秒或小数秒,并且可以是
以微秒 (us) 分辨率指定。 如果 间隔 为 0,统计将
对所有数据包进行计算。
如果不 过滤 指定的统计将计算所有数据包。 如果
一个或多个 过滤器 为所有过滤器计算指定的统计信息
并为每个过滤器提供一列统计数据。
此选项可以在命令行上多次使用。
计费示例: -z io,stat,1,ip.addr==1.2.3.4 将为所有人生成 1 秒的统计信息
进出主机 1.2.3.4 的流量。
计费示例: -z “io,stat,0.001,smb&&ip.addr==1.2.3.4” 将生成 1ms 的统计信息
发往/来自主机 1.2.3.4 的所有 SMB 数据包。
上面的例子都使用标准语法来生成统计信息
只计算每个时间间隔内的包数和字节数。
io,统计 还可以做更多的统计和计算 计数(), 和(), 最小值(),
MAX(), AVG() 和 加载() 使用稍微不同的过滤器语法:
-z io,统计,间隔,"[COUNT|SUM|MIN|MAX|AVG|LOAD](部分)过滤"
注意:这里要注意的一件重要事情是过滤器不是可选的,并且
计算所基于的字段必须是过滤器字符串的一部分或
计算将失败。
所以: -z io,stat,0.010,AVG(smb.time) 不起作用。 用 -z
io,stat,0.010,AVG(smb.time)smb.time 反而。 还要注意一个字段可以存在
在同一个数据包内多次,然后将在
那些数据包。
注意:第二个需要注意的重要事项是十进制的系统设置
分隔符必须设置为“.”! 如果设置为“”,则不会统计
每个过滤器显示。
数数(部分)过滤 - 计算该字段的次数 姓名 (不是它的
value) 出现在过滤的数据包列表中的每个间隔。 ''部分'' 可以是任何
显示过滤器名称。
计费示例: -z io,stat,0.010,"COUNT(smb.sid)smb.sid"
这将计算每 10 毫秒间隔内看到的 SID 总数。
和(部分)过滤 - 与 COUNT 不同的是, 价值观 指定字段的总和
时间间隔。 ''部分'' 只能是命名整数、浮点数、双精度数或相对数
时间字段。
计费示例: -z io,stat,0.010,"SUM(frame.len)frame.len"
报告所有数据中双向传输的总字节数
10 毫秒间隔内的数据包。
最小最大平均(部分)过滤 - 每个字段中的最小值、最大值或平均值
间隔计算。 指定的字段必须是命名整数、浮点数、
双倍或相对时间字段。 对于相对时间字段,显示输出
以秒为单位,精度四舍五入到最接近的六位十进制数字
微秒。
下面的例子中,第一次Read_AndX调用的时间,最后一次Read_AndX
显示响应值以及最小、最大和平均读取响应
计算时间(SRT)。 注意:如果 DOS 命令 shell 行继续
字符,使用 ''^'',每行不能以逗号结尾,所以它放在
每个续行的开头:
tshark -o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z io,stat,0,
"MIN(frame.time_relative)frame.time_relative 和 smb.cmd==0x2e 和 smb.flags.response==0",
"MAX(frame.time_relative)frame.time_relative 和 smb.cmd==0x2e 和 smb.flags.response==1",
"MIN(smb.time)smb.time 和 smb.cmd==0x2e",
"MAX(smb.time)smb.time 和 smb.cmd==0x2e",
"AVG(smb.time)smb.time 和 smb.cmd==0x2e"
================================================== ================================================== ==
IO统计
第 0 列:MIN(frame.time_relative)frame.time_relative 和 smb.cmd==0x2e 和 smb.flags.response==0
第 1 列:MAX(frame.time_relative)frame.time_relative 和 smb.cmd==0x2e 和 smb.flags.response==1
第 2 列:MIN(smb.time)smb.time 和 smb.cmd==0x2e
第 3 列:MAX(smb.time)smb.time 和 smb.cmd==0x2e
第 4 列:AVG(smb.time)smb.time 和 smb.cmd==0x2e
| 第 0 列 | 第 1 列 | 第 2 列 | 第 3 列 | 第 4 列 |
时间 | 最小 | 最大 | 最小 | 最大 | 平均
000.000- 0.000000 7.704054 0.000072 0.005539 0.000295
================================================== ================================================== ==
以下命令显示平均 SMB 读取响应 PDU 大小,总数
读取 PDU 字节数、平均 SMB 写入请求 PDU 大小和总数
SMB 写入 PDU 中传输的字节数:
tshark -n -q -r smb_reads_writes.cap -z io,stat,0,
"AVG(smb.file.rw.length)smb.file.rw.length 和 smb.cmd==0x2e 和 smb.response_to",
"SUM(smb.file.rw.length)smb.file.rw.length and smb.cmd==0x2e and smb.response_to",
"AVG(smb.file.rw.length)smb.file.rw.length 和 smb.cmd==0x2f 而不是 smb.response_to",
“SUM(smb.file.rw.length)smb.file.rw.length 和 smb.cmd==0x2f 而不是 smb.response_to”
=================================================== ==================================
IO统计
第 0 列:AVG(smb.file.rw.length)smb.file.rw.length 和 smb.cmd==0x2e 和 smb.response_to
第 1 列:SUM(smb.file.rw.length)smb.file.rw.length 和 smb.cmd==0x2e 和 smb.response_to
第 2 列:AVG(smb.file.rw.length)smb.file.rw.length 和 smb.cmd==0x2f 而不是 smb.response_to
第 3 列:SUM(smb.file.rw.length)smb.file.rw.length 和 smb.cmd==0x2f 而不是 smb.response_to
| 第 0 列 | 第 1 列 | 第 2 列 | 第 3 列 |
时间 | 平均总和 | 平均总和 |
000.000-30018 28067522 72 3240
=================================================== ==================================
加载(部分)过滤 - 计算每个间隔中的 LOAD/Queue-Depth。 这
指定字段必须是表示响应时间的相对时间字段。
例如 smb.time。 对于每个间隔,指定的队列深度
协议计算。
以下命令显示平均 SMB 负载。 值为 1.0 表示
飞行中的一个 I/O。
tshark -n -q -r smb_reads_writes.cap
-z "io,stat,0.001,LOAD(smb.time)smb.time"
================================================== ==========================
IO统计
间隔:0.001000 秒
第 0 列:负载(smb.time)smb.time
| 第 0 列 |
时间 | 负载 |
0000.000000-0000.001000 1.000000
0000.001000-0000.002000 0.741000
0000.002000-0000.003000 0.000000
0000.003000-0000.004000 1.000000
框架 | 字节[()过滤] - 显示总帧数或字节数。 这
filter 字段是可选的,但如果包含它,则必须在前面加上 ''()''。
以下命令显示五列:总帧数和字节数
(双向传输)使用单个逗号,使用相同的两个统计信息
FRAMES 和 BYTES 子命令,包含至少一个的帧总数
SMB 读取响应,以及传输到客户端的总字节数
(单向)在 IP 地址 10.1.0.64。
tshark -o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z io,stat,0,,帧,字节,
"FRAMES()smb.cmd==0x2e 和 smb.response_to","BYTES()ip.dst==10.1.0.64"
==================================================== ==================================================== ================
IO统计
第 0 列:
第 1 列:框架
第 2 列:字节
第 3 列:FRAMES()smb.cmd==0x2e 和 smb.response_to
第 4 列:BYTES()ip.dst==10.1.0.64
| 第 0 列 | 第 1 列 | 第 2 列 | 第 3 列 | 第 4 列 |
时间 | 相框 | 字节 | 框架 | 字节 | 框架 | 字节 |
000.000- 33576 2972168533576 29721685 87029004801 XNUMX XNUMX
==================================================== ==================================================== ================
-z mac-lte,统计[,筛选]
此选项将激活 LTE MAC 消息的计数器。 你会得到
UE/TTI 最大数量、常用消息和各种信息
出现在日志中的每个 UE 的计数器。
计费示例: -z mac-lte,统计.
此选项可以在命令行上多次使用。
如果可选 过滤 提供,统计数据将只计算那些
匹配该过滤器的帧。 例子: -z “mac-lte,统计,mac-lte.rnti3000"> 将
只为分配的 RNTI 值大于 3000 的 UE 收集统计信息。
-z 巨型, rtd[,筛选]
为 MEGACO 收集请求/响应 RTD(响应时间延迟)数据。 (这是
像 -z 中小企业、中小企业)。 收集的数据是每个已知的调用次数
MEGACO 类型、MinRTD、MaxRTD 和 AvgRTD。 另外你得到的数量
重复的请求/响应、未响应的请求、不匹配的响应
有任何要求。 例子: -z 兆丰科技有限公司.
如果可选 过滤 提供,统计数据将只计算那些
匹配该过滤器的调用。 例子: -z “megaco,rtd,ip.addr==1.2.3.4” 只会
收集主机在 IP 地址 1.2.3.4 交换的 MEGACO 数据包的统计信息。
此选项可以在命令行上多次使用。
-z mgcp,rtd[,筛选]
为 MGCP 收集请求/响应 RTD(响应时间延迟)数据。 (这是
像 -z 中小企业、中小企业)。 收集的数据是每个已知 MGCP 的调用次数
类型、MinRTD、MaxRTD 和 AvgRTD。 另外你会得到重复的数量
请求/响应、未响应的请求、与任何不匹配的响应
要求。 例子: -z 毫克cp,rtd.
此选项可以在命令行上多次使用。
如果可选 过滤 提供,统计数据将只计算那些
匹配该过滤器的调用。 例子: -z “mgcp,rtd,ip.addr==1.2.3.4” 只会
收集主机在 IP 地址 1.2.3.4 交换的 MGCP 数据包的统计信息。
-z 原型,colinfo,过滤,部分
全部追加 部分 数据包的值到单行摘要的信息列
输出。 此功能可用于将任意字段附加到 Info 列中
除了该列的正常内容。 部分 是显示过滤器名称
应将其值放置在“信息”列中的字段。 过滤 是一个过滤器
控制字段值将出现在哪些数据包中的字符串
信息栏。 部分 将只出现在数据包的信息列中
哪个匹配 过滤.
注意:为了 鲨鱼 能够提取 部分 来自数据包的价值,
部分 必须是 过滤 细绳。 如果不, 鲨鱼 将不能够
提取其价值。
对于将“nfs.fh.hash”字段添加到所有信息列的简单示例
包含“nfs.fh.hash”字段的数据包,使用
-z 原型,colinfo,nfs.fh.hash,nfs.fh.hash
将“nfs.fh.hash”放在信息列中,但仅用于来自主机的数据包
1.2.3.4 用途:
-z "proto,colinfo,nfs.fh.hash && ip.src==1.2.3.4,nfs.fh.hash"
此选项可以在命令行上多次使用。
-z rlc-lte,统计[,筛选]
此选项将激活 LTE RLC 消息的计数器。 你会得到
出现在每个 UE 的公共消息和各种计数器的信息
日志。
计费示例: -z RLC-LTE,统计.
此选项可以在命令行上多次使用。
如果可选 过滤 提供,统计数据将只计算那些
匹配该过滤器的帧。 例子: -z “rlc-lte,统计,rlc-lte.ueid3000"> 将
仅收集 UEId 超过 3000 的 UE 的统计信息。
-z RPC,程序
收集所有已知 ONC-RPC 程序/版本的调用/回复 SRT 数据。 数据
收集的是每个协议/版本、MinSRT、MaxSRT 和 AvgSRT 的调用次数。
此选项只能在命令行上使用一次。
-z rpc,srt,程序,版本[,过滤]
收集呼叫/回复 SRT(服务响应时间)数据 程序/版本。 日期
收集的是每个过程的调用数,MinSRT、MaxSRT、AvgSRT 和
每个程序花费的总时间。
计费示例: -z RPC,srt,100003,3 将为 NFS v3 收集数据。
此选项可以在命令行上多次使用。
如果可选 过滤 提供,统计数据将只计算那些
匹配该过滤器的调用。
计费示例: -z rpc,srt,100003,3,nfs.fh.hash==0x12345678 将收集 NFS v3 SRT
特定文件的统计信息。
-z rtp,流
收集所有 RTP 流的统计信息并计算最大值。 增量,最大值和意思
抖动和丢包率。
-z SCSI,SRT,指令集[,过滤]
收集 SCSI 命令集的呼叫/回复 SRT(服务响应时间)数据 指令集.
命令集为 0:SBC 1:SSC 5:MMC
收集的数据是每个过程的调用次数,MinSRT、MaxSRT 和
平均 SRT。
计费示例: -z SCSI,srt,0 将为 SCSI 块命令 (SBC) 收集数据。
此选项可以在命令行上多次使用。
如果可选 过滤 提供,统计数据将只计算那些
匹配该过滤器的调用。
计费示例: -z scsi,srt,0,ip.addr==1.2.3.4 将收集 SCSI SBC SRT 统计信息
特定的 iscsi/ifcp/fcip 主机。
-z 啜饮,统计[,筛选]
此选项将激活 SIP 消息的计数器。 您将获得
每个 SIP 方法和每个 SIP 状态代码的出现次数。 另外你还
获取重发 SIP 消息的数量(仅适用于 UDP 上的 SIP)。
计费示例: -z 啜饮,统计.
此选项可以在命令行上多次使用。
如果可选 过滤 提供,统计数据将只计算那些
匹配该过滤器的调用。 例子: -z “sip,stat,ip.addr==1.2.3.4” 只会
收集 IP 地址为 1.2.3.4 的主机交换的 SIP 数据包的统计信息。
-z 中小企业、小岛屿发展中国家
使用此功能时 鲨鱼 将打印一份包含所有发现的 SID 的报告
和帐户名称映射。 只有帐户名称已知的那些 SID 才会
列在表中。
要使此功能正常工作,您需要启用
首选项中的“Edit/Preferences/Protocols/SMB/Snoop SID to name mappings”或
您可以通过指定覆盖首选项 -o “smb.sid_name_snooping:TRUE” on
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 鲨鱼 命令行。
目前使用的方法 鲨鱼 找到SID->name映射是相对的
受限于未来扩张的希望。
-z smb,srt[,过滤]
为 SMB 收集呼叫/回复 SRT(服务响应时间)数据。 收集的数据是
每个 SMB 命令、MinSRT、MaxSRT 和 AvgSRT 的调用次数。
计费示例: -z 中小企业、中小企业
数据将作为所有正常 SMB 命令的单独表格呈现,所有
Transaction2 命令和所有 NT Transaction 命令。 只有那些命令
在捕获中看到的将显示其统计信息。 只有第一个命令
在计算中将使用 xAndX 命令链。 所以对于普通
SessionSetupAndX + TreeConnectAndX 链,只会调用 SessionSetupAndX
统计中使用。 这是一个缺陷,将来可能会修复。
此选项可以在命令行上多次使用。
如果可选 过滤 提供,统计数据将只计算那些
匹配该过滤器的调用。
计费示例: -z “smb,srt,ip.addr==1.2.3.4” 只会收集 SMB 数据包的统计信息
由主机在 IP 地址 1.2.3.4 交换。
--捕获评论
向输出文件添加捕获注释。
此选项仅在创建 pcapng 格式的新输出文件时可用。
每个输出文件只能设置一个捕获注释。
--禁用协议
禁用对 proto_name 的剖析。
--启用启发式
启用启发式协议的剖析。
--禁用启发式
禁用启发式协议的剖析。
采集 FILTER 句法
参见手册页 pcap-过滤器(7) 或者,如果不存在, 转储(8),或者,如果
不存在, .
读 FILTER 句法
对于可过滤的协议和协议字段的完整表 鲨鱼 看到
线鲨过滤器(4) 手册页。
使用 onworks.net 服务在线使用 tshark
