CentOS下安装Wireshark相当简单.两条命令就够了.这里.主要是记录写使用方面的东西
安装:
1、yum install wireshark。注意这样并无法使用wireshark命令和图形界面。但提供了抓包基本功能。
2、yum install wireshark-gnome。这样就可以方便的使用了。
【简易使用】#tshark; 监控所有数据,实时变化。
【简易使用】#tshark host 192.168.1.219; 监控192.168.1.219数据
【简易使用】#tshark -wpacket.txt -i etho -q这样就会把捕捉到的网络包存放在packet.txt文件里面,要查看详情的话: tshark -rpacket.txt -x -V|more即可
如果能登录图形界面终端.那使用和windows下的无区别.但我们的服务器都在国外.要管理的话都是SSH登录只能用命令行了。使用wireshark的命令行工具tshark,在安装的时候会默认给安装上的,使用方法很简单,要捕捉包: tshark -wpacket.txt -i etho -q这样就会把捕捉到的网络包存放在packet.txt文件里面,要查看详情的话: tshark -rpacket.txt -x -V|more即可.
下面理一下所有参数的作用:
-a <capture autostop condition>
设置一个标准用来指定Wireshark什么时候停止捕捉文件。标准的格式为 test:value,test值为下面中的一个。
duration:value
-
当捕捉持续描述超过Value值,停止写入捕捉文件。
filesize:value
-
当捕捉文件大小达到Value值kilobytes(kilobytes表示1000bytes,而不是1024 bytes),停止写入捕捉文件。如果该选项和-b选项同时使用,Wireshark在达到指定文件大小时会停止写入当前捕捉文件,并切换到下一个文件。
files:value
-
当文件数达到Value值时停止写入捕捉文件
-b <capture ring buffer option>
如果指定捕捉文件最大尺寸,因为Wireshark运行在"ring buffer"模式,被指定了文件数。在"ring buffer"模式下,Wireshark 会写到多个捕捉文件。它们的名字由文件数和创建日期,时间决定。
当第一个捕捉文件被写满,Wireshark会跳转到下一个文件写入,直到写满最后一个文件,此时Wireshark会丢弃第一个文件的数据(除非将files设置为0,如果设置为0,将没有文件数限制),将数据写入该文件。
如果duration选项被指定,当捕捉持续时间达到指定值的秒数,Wireshark同样会切换到下个文件,即使文件未被写满。
duration:value
-
当捕捉持续描述超过Value值,即使文件未被写满,也会切换到下个文件继续写入。
filesize:value
-
当文件大小达到value值kilobytes时(kelobyte表示1000bytes,而不是1024bytes),切换到下一个文件。
files:value
-
当文件数达到value值时,从第一个文件重新开始写入。
-B <capture buffer size (Win32 only)>
仅适合Win32:设置文件缓冲大小(单位是MB,默认是1MB).被捕捉驱动用来缓冲包数据,直到达到缓冲大小才写入磁盘。如果捕捉时碰到丢包现象,可以尝试增大它的大小。
-c <capture packet count>
实时捕捉中指定捕捉包的最大数目,它通常在连接词-k选项中使用。
