tshark是wireshark的命令行工具,通过shell命令抓取、解析报文。tcpdump是Linux系统下的抓包工具。wireshark和tcpdump都共同使用 libpcap作为其底层抓包的库,tshark也可以抓取报文。
有时候需要在linux系统或者ARM开发板中进行抓包,使用tcpdump抓包更加方便,在这种场景下,一般使用tcpdump进行抓包,然后在Windows中使用wireshark来分析生成的包文件,在自动化分析或者自动化测试中,可以使用tshark来进行包解析。本文介绍使用tcpdump抓取报文后使用tshark进行报文解析。
安装
wireshark下载安装
wireshark官网:https://www.wireshark.org/download.html
1 | # linux |
帮助信息
1 | $ tcpdump -h |
查看可用端口:
1 | $ tcpdump -D |
tcpdump
tcpdump官方文档:https://www.tcpdump.org/index.html#documentation
常用参数
-i interface
:指定抓包接口,tcpdump -i eth1
-c count
:抓取包个数,tcpdump -c 5 -i eth0
仅抓取5个包-w file
:保存-A
:ASCII码形式打印报文-XX
:HEX 和 ASCII形式显示报文
抓包
抓取eth1网卡数据包,数据写入文件/tmp/packet.pcap
1 | tcpdump -i eth1 -w /tmp/packet.pcap >/dev/null 2>&1 & |
其中
- >/dev/null:将标准输出(控制台输出)重定向到/dev/null中,/dev/null代表 linux 的空设备文件。表示不输出内容
- 2>&1:重定向绑定,错误输出(2)和标准输出(1)输出到同一个地方
- >/dev/null 2>&1的作用就是丢弃标准输出和错误输出,不会输出任何信息到控制台。
也可以只抓取特定协议的报文,比如过滤tcp报文:
1 | tcpdump -i eth1 tcp |
抓取指定端口的报文
1 | tcpdump -i eth1 port 22 |
抓取指定源IP的报文
1 | tcpdump -i src 192.168.0.1 |
抓取指定目的IP的报文
1 | tcpdump -i dst 192.168.0.1 |
停止抓包
如果没有限制 tcpdump 抓包的数量(-c 参数),tcpdump 会持续抓包。可以通过 Ctrl+C 来停止抓包,或者杀掉tcpdump进程:
1 | killall -9 tcpdump |
杀掉tcpdump进程后会停止抓包。
读取报文
1 | $ tcpdump -r packet.pcap |
tshark
抓包完成后对数据包进行解析,下面介绍使用tshark解析数据包。
tshark工具介绍
tshark参考文档:https://www.wireshark.org/docs/man-pages/tshark.html
如果要在windows命令行窗口使用tshark需要将Wireshark安装路径 C:\Program Files\Wireshark 添加到环境变量。
查看帮助信息:
1 | $ tshark -h |
列出可用网卡接口:
1 | $ tshark -D |
前面提到过
tcpdump -D
也可以列出网卡信息,功能类似于Linux中的netstat -i
、ifconfig -a
和ip link
命令查看网卡接口信息。在windows中,除了在网络连接中查看网卡信息以外,也可以在命令行中通过如下命令查看:
ipconfig (/all)
wmic nic list brief
Linux系统和windows系统tshark使用方法一样
tshark命令抓包
常用参数:
-i | --interface <capture interface>
:指定抓包接口-f <capture filter>
:抓包过滤,BPF(Berkeley Packet Filter)过滤规则,tcpdump和scapy(filter参数)都使用这个过滤规则,参考Python Scapy 报文构造和解析。-w <outfile>
:将数据包写入文件-O <protocols>
:打印数据包详细信息-V
:打印数据包详细视图-P
:写入文件过程中,打印数据包简略信息-c <capture packet count>
:设置抓取最大的包个数-a|--autostop <autostop condition>
:duration:5—5秒后停止抓包;files:2—写了2个文件后停止;filesize:100—包大小达到100KB后停止,
tshark抓包示例:
1 | $ tshark -i "WLAN" -f "tcp port 80" -w "test.pcap" |
tshark解析数据包
常用参数:
-r
:指定需要解析的数据包-T
:指定数据包解析输出格式,支持格式见解码所有数据,这里介绍-T fields
,一般与-e
选项连用。-e
:指定过滤的字段-E
:可用于指定分隔符:separator=,
:默认分隔符为缩进(\t)-Y
:过滤指定报文
1 | tshark [ -r <infile> ] -T fields [ -e <field> ] -E <field print option> -Y <displaY filter> |
需要解析的字段可以通过Wireshark查看:
选择要过滤的内容 -> 右键 -> Apply as Filter -> Selected
例1:过滤具有源IP和目的IP字段的所有报文
1 | tshark -r packet.pcap -T fields -e ip.src -e ip.dst |
例2:过滤源地址为fe80::ca3a:35ff:fe09:efa1的报文,并读取UDP源端口号和IPv6目的地址。
1 | $ tshark -r packet.pcap -T fields -E separator=, -Y ipv6.src==fe80::ca3a:35ff:fe09:efa1 -e udp.srcport -e ipv6.dst |
注意:
-Y
参数中,多个条件用||
,&&
,and
或者or
连接,如果使用多个-Y
参数,只有最后一个生效,下面过滤源地址为fe80::ca3a:35ff:fe09:efa1的DHCPv6 Solicit报文:1 | $ tshark -r packet.pcap -T fields -E separator=, -Y dhcpv6.msgtype==1 -Y ipv6.src==fe80::ca3a:35ff:fe09:efa1 -e udp.srcport -e ipv6.dst |
过滤完成后进行进一步的分析
比如可以使用grep命令进一步提取满足条件的报文
过滤源地址或者目的地址为192.168.5.38的报文
1 | # linux |

也可以使用python、Java等高级语言进行进一步的分析,Python示例如下:
1 | result = os.popen("tshark -r packet.pcap -T fields -e ip.src -e ip.dst“) |
解码所有数据
某些字段可能无法使用tshark过滤,这种情况下,可以先将pcap文件解码,tshark支持如下文件格式:
1 | ek|fields|json|jsonraw|pdml|ps|psml|tabs|text |
解码成xml和text格式文件:
1 | tshark -r packet.pcap -V -T pdml > packet.xml |
- -V:输出数据包详细信息
- -T pdml:指定数据包解码输出格式为xml格式
xml文档可以使用python的ElementTree工具解析:
1 | try: |
问题:windows tshark命令无效
系统:windows10
tshark已加入环境变量中
输入tshark,显示:
1 | C:\Users\DELL>tshark |
WIreshark安装需要安装WinPcap,查看电脑已经安装了WinPcap。
接下来以管理员身份运行命令行串口,输入net start npf
启动NPF,出现如下报错信息:
1 | C:\WINDOWS\system32>net start npf |
卸载WinPcap10,下载安装winpcap4.1.3:https://www.winpcap.org/install/default.htm
重新输入net start npf
启动NPF:
1 | C:\WINDOWS\system32>net start npf |
启动成功!
tshark命令也可以正常使用了
本文标题:使用tshark命令解析tcpdump抓取的数据包
文章作者:hiyo
文章链接:https://hiyongz.github.io/posts/network-tcpdump-and-wireshark/
许可协议:本博客文章除特别声明外,均采用CC BY-NC-ND 4.0 许可协议。转载请保留原文链接及作者。
v1.4.14