CentOS下安裝Wireshark相當簡單.兩條命令就夠了.這裡.主要是記錄寫使用方面的東西
安裝:
1、yum install wireshark。注意這樣並無法使用wireshark命令和圖形界面。但提供了抓包基本功能。
2、yum install wireshark-gnome。這樣就可以方便的使用了。
【簡易使用】#tshark; 監控所有數據,實時變化。
【簡易使用】#tshark host 192.168.1.219; 監控192.168.1.219數據
【簡易使用】#tshark -wpacket.txt -i etho -q這樣就會把捕捉到的網絡包存放在packet.txt文件裡面,要查看詳情的話: tshark -rpacket.txt -x -V|more即可
如果能登錄圖形界面終端.那使用和windows下的無區別.但我們的服務器都在國外.要管理的話都是SSH登錄只能用命令行了。使用wireshark的命令行工具tshark,在安裝的時候會默認給安裝上的,使用方法很簡單,要捕捉包: tshark -wpacket.txt -i etho -q這樣就會把捕捉到的網絡包存放在packet.txt文件裡面,要查看詳情的話: tshark -rpacket.txt -x -V|more即可.
下面理一下所有參數的作用:
設置一個標准用來指定Wireshark什麼時候停止捕捉文件。標准的格式為 test:value,test值為下面中的一個。
當捕捉持續描述超過Value值,停止寫入捕捉文件。
當捕捉文件大小達到Value值kilobytes(kilobytes表示1000bytes,而不是1024 bytes),停止寫入捕捉文件。如果該選項和-b選項同時使用,Wireshark在達到指定文件大小時會停止寫入當前捕捉文件,並切換到下一個文件。
當文件數達到Value值時停止寫入捕捉文件
如果指定捕捉文件最大尺寸,因為Wireshark運行在"ring buffer"模式,被指定了文件數。在"ring buffer"模式下,Wireshark 會寫到多個捕捉文件。它們的名字由文件數和創建日期,時間決定。
當第一個捕捉文件被寫滿,Wireshark會跳轉到下一個文件寫入,直到寫滿最後一個文件,此時Wireshark會丟棄第一個文件的數據(除非將files設置為0,如果設置為0,將沒有文件數限制),將數據寫入該文件。
如果duration選項被指定,當捕捉持續時間達到指定值的秒數,Wireshark同樣會切換到下個文件,即使文件未被寫滿。
當捕捉持續描述超過Value值,即使文件未被寫滿,也會切換到下個文件繼續寫入。
當文件大小達到value值kilobytes時(kelobyte表示1000bytes,而不是1024bytes),切換到下一個文件。
當文件數達到value值時,從第一個文件重新開始寫入。
僅適合Win32:設置文件緩沖大小(單位是MB,默認是1MB).被捕捉驅動用來緩沖包數據,直到達到緩沖大小才寫入磁盤。如果捕捉時碰到丟包現象,可以嘗試增大它的大小。
實時捕捉中指定捕捉包的最大數目,它通常在連接詞-k選項中使用。
