本篇我们将详细介绍在linux下如何安装tshark抓包工具,以及简单介绍下其用法。
工具/原料
debian6系统虚拟机一台。
方法/步骤
1、首先我们要确保盟敢势袂linux系统能够上网,并配置系统的源文件。debian下源文件在/etc/apt/sources.list文件。一般添加163源。
2、配置好源文件后,我们执行命令apt-getupdate。同步/etc/apt/sources.list中列出的源的索引。
3、在更新完成后。我们执行命令apt-getinstalltshark。进行安装tshark软件。
4、在安装完成后。我们执行命令tshark-D查看系统的网络接口状况。
5、执行命令tshark-ieth0。捕获eth0口的流量数据包。
6、下面我们介绍一个案例,捕畛粳棠奈获tcp协议端口为22的数据包。命令格式为:tshark-ieth0-n-f'tcpport22媪青怍牙'。详细介绍命令格式:-i表示为捕获哪个网络接口的数据,本篇为eth0。-n表示不对地址进行解析。即真实显示ip地址。-f表示捕获的过滤器表达式。
7、我们跗柿椁焚如果想将上一条命令捕获的结果,重定向到其他文件。执行命令为:tshark-ieth0-n-f'tcpport婷钠痢灵22'-Tpdml>/root/test.xml。-T:表示设置输出格式。(其格式支持pdml|ps|psml|text|fields)。默认为text格式。
8、以上是一个简单的案例。各位如有其他需求。请执行命令tshark--help。查看帮助信息。
