centos wireshark(centos镜像)

这篇文章给大家聊聊关于centos wireshark，以及centos镜像对应的知识点，希望对各位有所帮助，不要忘了收藏本站哦。

centos怎样安装wireshark

centos下安装wireshark相当简单.两条命令就够了.这里.主要是记录写使用方面的东西

安装:

1、yum install wireshark。注意这样并无法使用wireshark命令和图形界面。但提供了抓包基本功能。

2、yum install wireshark-gnome。这样就可以方便的使用了。

如果能登录图形界面终端.那使用和windows下的无区别.但我们的服务器都在国外.要管理的话都是SSH登录只能用命令行了。使用wireshark的命令行工具tshark，在安装的时候会默认给安装上的，使用方法很简单，要捕捉包： tshark-wpacket.txt-i etho-q这样就会把捕捉到的网络包存放在packet.txt文件里面，要查看详情的话： tshark-rpacket.txt-x-V|more即可.

下面理一下所有参数的作用:

-a

设置一个标准用来指定Wireshark什么时候停止捕捉文件。标准的格式为 test:value,test值为下面中的一个。

duration:value

当捕捉持续描述超过Value值，停止写入捕捉文件。

filesize:value

当捕捉文件大小达到Value值kilobytes(kilobytes表示1000bytes,而不是1024 bytes)，停止写入捕捉文件。如果该选项和-b选项同时使用，Wireshark在达到指定文件大小时会停止写入当前捕捉文件，并切换到下一个文件。

files:value

当文件数达到Value值时停止写入捕捉文件

-b

如果指定捕捉文件最大尺寸，因为Wireshark运行在”ring buffer”模式，被指定了文件数。在”ring buffer”模式下，Wireshark会写到多个捕捉文件。它们的名字由文件数和创建日期，时间决定。

当第一个捕捉文件被写满，Wireshark会跳转到下一个文件写入，直到写满最后一个文件，此时Wireshark会丢弃第一个文件的数据(除非将files设置为0，如果设置为0，将没有文件数限制)，将数据写入该文件。

如果duration选项被指定，当捕捉持续时间达到指定值的秒数，Wireshark同样会切换到下个文件，即使文件未被写满。

duration:value

当捕捉持续描述超过Value值，即使文件未被写满，也会切换到下个文件继续写入。

filesize:value

当文件大小达到value值kilobytes时(kelobyte表示1000bytes,而不是1024bytes)，切换到下一个文件。

files:value

当文件数达到value值时，从第一个文件重新开始写入。

-B

仅适合Win32:设置文件缓冲大小(单位是MB,默认是1MB).被捕捉驱动用来缓冲包数据，直到达到缓冲大小才写入磁盘。如果捕捉时碰到丢包现象，可以尝试增大它的大小。

-c

实时捕捉中指定捕捉包的最大数目，它通常在连接词-k选项中使用。

-D

打印可以被Wireshark用于捕捉的接口列表。每个接口都有一个编号和名称(可能紧跟在接口描述之后？)会被打印，接口名或接口编号可以提供给-i参数来指定进行捕捉的接口(这里打印应该是说在屏幕上打印)。

在那些没有命令可以显示列表的平台(例如Windows,或者缺少ifconfig-a命令的UNIX平台)这个命令很有用;接口编号在Windows 2000及后续平台的接口名称通常是一些复杂字符串，这时使用接口编号会更方便点。

注意，”可以被Wireshark用于捕捉”意思是说：Wireshark可以打开那个设备进行实时捕捉；如果在你的平台进行网络捕捉需要使用有特殊权限的帐号(例如root，Windows下的Administrators组)，在没有这些权限的账户下添加-D不会显示任何接口。参数

-f

设置捕捉时的内置过滤表达式

-g在使用-r参数读取捕捉文件以后，使用该参数跳转到指定编号的包。

-h

-h选项请求Wireshark打印该版本的命令使用方法(前面显示的)，然后退出。

-i

设置用于进行捕捉的接口或管道。

网络接口名称必须匹配Wireshark-D中的一个；也可以使用Wireshark-D显示的编号，如果你使用UNIX,netstat-i或者ifconfig-a获得的接口名也可以被使用。但不是所有的UNIX平台都支持-a,ifconfig参数。

如果未指定参数，Wireshark会搜索接口列表，选择第一个非环回接口进行捕捉，如果没有非环回接口，会选择第一个环回接口。如果没有接口，wireshark会报告错误，不执行捕捉操作。

管道名即可以是FIFO(已命名管道)，也可以使用”-”读取标准输入。从管道读取的数据必须是标准的libpcap格式。

-k

-k选项指定Wireshark立即开始捕捉。这个选项需要和-i参数配合使用来指定捕捉产生在哪个接口的包。

-l

打开自动滚屏选项，在捕捉时有新数据进入，会自动翻动”Packet list”面板（同-S参数一样）。

-m

设置显示时的字体（编者认为应该添加字体范例）

-n

显示网络对象名字解析(例如TCP,UDP端口名，主机名)。

-N

对特定类型的地址和端口号打开名字解析功能；该参数是一个字符串，使用m可以开启MAC地址解析，n开启网络地址解析，t开启传输层端口号解析。这些字符串在-n和-N参数同时存在时优先级高于-n，字母C开启同时(异步)DNS查询。

-o设置首选项或当前值，覆盖默认值或其他从Preference/recent file读取的参数、文件。该参数的值是一个字符串，形式为 prefname:value,prefnmae是首选项的选项名称(出现在preference/recent file上的名称)。value是首选项参数对应的值。多个-o可以使用在单独命中中。

设置单独首选项的例子：

wireshark-o mgcp.display_dissect_tree:TRUE

设置多个首选项参数的例子：

wireshark-o mgcp.display_dissect_tree:TRUE-o mgcp.udp.callagent_port:2627-p

不将接口设置为杂收模式。注意可能因为某些原因依然出于杂收模式；这样，-p不能确定接口是否仅捕捉自己发送或接受的包以及到该地址的广播包，多播包

-Q

禁止Wireshark在捕捉完成时退出。它可以和-c选项一起使用。他们必须在出现在-i-w连接词中。

-r

指定要读取显示的文件名。捕捉文件必须是Wireshark支持的格式。

-R

指定在文件读取后应用的过滤。过滤语法使用的是显示过滤的语法，，不匹配的包不会被显示。

-s

设置捕捉包时的快照长度。Wireshark届时仅捕捉每个包字节的数据。

-S

Wireshark在捕捉数据后立即显示它们，通过在一个进程捕捉数据，另一个进程显示数据。这和捕捉选项对话框中的”Update list of packets in real time/实时显示数据”功能相同。

-t

设置显示时间戳格式。可用的格式有

r相对的，设置所有包时间戳显示为相对于第一个包的时间。

a absolute,设置所有包显示为绝对时间。

ad绝对日期，设置所有包显示为绝对日期时间。

d delta设置时间戳显示为相对于前一个包的时间

e epoch设置时间戳显示为从epoch起的妙数(1970年1月1日 00:00:00起)

-v

请求Wireshark打印出版本信息，然后退出

-w

在保存文件时以savefile所填的字符为文件名。

-y

如果捕捉时带有-k参数，-y将指定捕捉包中数据链接类型。The values reported by-L are the values that can be used.

-X

设置一个选项传送给TShark模块。eXtension选项使用extension_key:值形式，extension_key:可以是：

lua_script:lua_script_filename,它告诉Wireshark载入指定的脚本。默认脚本是Lua scripts.

-z

得到Wireshark的多种类型的统计信息，显示结果在实时更新的窗口。

用LogParser分析WireShark的包

Linux下Wireshark的网络抓包使用方法

Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。

与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

Wireshark的优势：

-安装方便。

-简单易用的界面。

-提供丰富的功能。

Wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。

Wireshark目前世界上最受欢迎的协议分析软件，利用它可将捕获到的各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式，极大地方便了对网络活动的监测分析和教学实验。它有十分丰富和强大的统计分析功能，可在Windows，Linux和UNIX等系统上运行。此软件于1998年由美国Gerald Combs首创研发，原名Ethereal，至今世界各国已有100多位网络专家和软件人员正在共同参与此软件的升级完善和维护。它的名称于2006年5月由原Ethereal改为Wireshark。至今它的更新升级速度大约每2～3个月推出一个新的版本，2007年9月时的版本号为0.99.6。但是升级后软件的主要功能和使用方法保持不变。它是一个开源代码的免费软件，任何人都可自由下载，也可参与共同开发。

Wireshark网络协议分析软件可以十分方便直观地应用于计算机网络原理和网络安全的教学实验，网络的日常安全监测，网络性能参数测试，网络恶意代码的捕获分析，网络用户的行为监测，黑客活动的追踪等。因此它在世界范围的网络管理专家，信息安全专家，软件和硬件开发人员中，以及美国的一些知名大学的网络原理和信息安全技术的教学、科研和实验工作中得到广泛的应用。

在安装新旧版本软件包和使用中，Ethereal与Wireshark的一些细微区别如下：

（1）Ethereal软件安装包中包含的网络数据采集软件是winpcap 3.0的版本，保存捕获数据时只能用英文的文件名，文件名默认后缀为.cap

（2）Wireshark软件安装包中，目前包含的网络数据采集软件是winpcap 4.0版本，保存捕获数据时可以用中文的文件名，文件名默认后缀为.pcap。另外，Wireshark可以翻译解释更多的网络通信协议数据，对网络数据流具有更好的统计分析功能，在网络安全教学和日常网络监管工作中使用更方便，而基本使用方法仍然与Ethereal相同。

winpcap(windows packet capture)是windows平台下一个免费，公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。

在Linux下，当我们需要抓取网络数据包分析时，通常是使用tcpdump抓取网络raw数据包存到一个文件，然后下载到本地使用wireshark界面网络分析工具进行网络包分析。

最近才发现，原来wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能，还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。

1、安装方法

CentOS:

复制代码代码如下:yum install-y wireshark

Ubuntu:

复制代码代码如下:apt-get install-y tshark

2、实时打印当前http请求的url(包括域名)

复制代码代码如下:

tshark-s 512-i eth0-n-f'tcp dst port 80'-R'http.host and http.request.uri'-T fields-e http.host-e http.request.uri-l| tr-d'\t'

下面介绍参数含义：

-s 512:只抓取前512个字节数据

-i eth0:捕获eth0网卡

-n:禁止网络对象名称解析

-f‘tcp dst port 80′:只捕捉协议为tcp,目的端口为80的数据包

-R‘http.host and http.request.uri’:过滤出http.host和http.request.uri

-T fields-e http.host-e http.request.uri:打印http.host和http.request.uri

-l：输出到标准输出

3、实时打印当前mysql查询语句

复制代码代码如下:

tshark-s 512-i eth0-n-f'tcp dst port 3306'-R'mysql.query'-T fields-e mysql.query

下面介绍参数含义：

-s 512:只抓取前512个字节数据

-i eth0:捕获eth0网卡

-n:禁止网络对象名称解析

-f‘tcp dst port 3306′:只捕捉协议为tcp,目的端口为3306的数据包

-R‘mysql.query’:过滤出mysql.query

-T fields-e mysql.query:打印mysql查询语句

tshark使用-f来指定捕捉包过滤规则，规则与tcpdump一样，可以通过命令man pcap-filter来查得。

tshark使用-R来过滤已捕捉到的包，与界面版wireshark的左上角Filter一致。

Linux入门之wireshark指令详解

Linux以其稳定性和开源特性深受技术人员喜爱，尤其在网络分析和安全领域，Wireshark扮演着关键角色。作为一款网络协议分析器，Wireshark能帮助初学者透彻理解网络协议工作原理和流量分析。本文将深入讲解Linux中Wireshark的基本指令，以快速入门。

首先，安装Wireshark是使用它的第一步。在Linux上，可以通过包管理器轻松安装，如在Ubuntu中输入“sudo apt-get install wireshark”，在CentOS中则是“sudo yum install wireshark”。安装完成后，通过终端输入“wireshark”启动工具。

启动Wireshark后，你会看到一个直观的界面，它主要由捕获工具、数据包显示、过滤器应用和更多选项组成。掌握基本的捕获指令，如“sudo wireshark-i any”以监听所有网络接口，或“sudo wireshark-k”启用包嗅探，是使用Wireshark的基础。

Wireshark的强大不仅在于捕获，还在于其深入的数据包分析功能。比如，你可以查看数据包详情、应用过滤规则、甚至解析TCP/UDP会话。通过这些功能，你可以深入了解通信过程。

此外，Wireshark还提供了一些高级特性，如性能分析、协议解码和脚本自动化等，这些功能让分析工作更高效。但是，本文所介绍的只是冰山一角，更多功能需要用户自己去探索和实践。

总结来说，Wireshark是一个强大的网络分析工具，熟练掌握其基本指令和功能，将有助于你快速入门网络协议分析，并在解决网络问题时游刃有余。不断学习和实践，你的Wireshark技能将日益提升。