tshark是wireshark安装目录下命令行工具
使用tshark可以通过自动化方式调用wireshark
tshark
-a duration:30 抓包30秒
-w cap.cap 保存为cap.cap
-r cap.cap 读取指定报文
-f arp 抓取arp报文,捕获过滤
-R ip.addr==10.0.0.1 显示指定IP地址报文,显示过滤
tshark -n -t a -R ssl -T fields -e "ip.src" -e "ssl.app_data"
显示ssl data数据
tshark -a duration:10 -V -T text 直接显示报文头部解析内容
tshark -r temp.cap -R "ssl" -V -T text 读取指定报文,按照ssl过滤显示内容
tshark -r temp.cap -z "follow,tcp,ascii,13" -q 过滤tcp流13,获取data内容
-z "follow,tcp,ascii,10.0.0.1:80,10.0.0.2:12335"
tshark -r temp.cap -R ssl -Tfields -e "ip.src" -e tcp.srcport -e ip.dst -e tcp.dstport 按照指定格式显示