TShark 是 Wireshark 的命令行版本，Wireshark 是一款功能强大的网络协议分析工具。TShark 允许用户通过命令行捕获、过滤和分析网络数据包，特别适合自动化任务、脚本集成以及在无图形界面的环境中进行高效的网络分析。

---

基本语法

TShark 命令的基本结构如下：

tshark [选项] [过滤条件]

• 选项：控制 TShark 行为的参数，例如指定网络接口、输出格式或捕获限制。
• 过滤条件：用于限制捕获或显示的数据包，支持捕获过滤器（BPF 语法）和显示过滤器（Wireshark 语法）。

---

详细选项介绍

TShark 提供了丰富的命令行选项，涵盖捕获控制、输出格式、过滤器应用和性能优化等方面。以下是对主要选项的详细说明。

1. 网络接口相关选项

网络接口是 TShark 捕获数据包的基础，相关选项用于指定和列出接口。

• -i <interface>：指定捕获流量的网络接口。
  • 描述：TShark 需要明确知道从哪个接口捕获数据包。接口名称因操作系统而异（如 Linux 上的 eth0、Windows 上的 \Device\NPF_{...}）。
  • 使用方法：可以指定单一接口（如 tshark -i eth0）或多个接口（-i eth0 -i wlan0）。
  • 注意：需要管理员权限运行 TShark 以访问网络接口。
• -D：列出所有可用的网络接口。
  • 描述：显示系统中可用于捕获的接口列表，方便用户选择正确的接口名称。
  • 输出示例：

    1. eth0
    2. wlan0
    3. lo
    

• -I：启用监听模式（仅限无线接口）。
  • 描述：用于捕获无线网络的原始 802.11 帧，需接口支持监听模式。
  • 使用方法：tshark -i wlan0 -I。

2. 捕获控制选项

这些选项控制捕获的范围、时长和文件输出。

• -c <count>：限制捕获的数据包数量。
  • 描述：指定捕获的固定数据包数量后停止，适合快速测试或限制输出。
  • 使用方法：tshark -i eth0 -c 100（捕获 100 个数据包后停止）。
• -a <autostop condition>：设置自动停止条件。
  • 描述：支持多种停止条件，例如时间（duration:<seconds>）、文件大小（filesize:<KB>）或数据包数量（packets:<count>）。
  • 使用方法：tshark -i eth0 -a duration:60（捕获 60 秒后停止）。
• -b <ring buffer option>：启用环形缓冲区，控制多文件捕获。
  • 描述：支持文件轮换以避免单一文件过大，参数包括 filesize:<KB>（每个文件大小）、files:<count>（文件数量）和 duration:<seconds>（每个文件时长）。
  • 使用方法：tshark -i eth0 -b filesize:10000 -b files:5 -w output.pcap（每个文件 10MB，最多保存 5 个文件）。
• -w <file>：将捕获的数据包保存到文件。
  • 描述：保存为 PCAP 或 PCAPng 格式，适合后续分析。注意：-w 不影响终端输出，仅保存原始数据包。
  • 使用方法：tshark -i eth0 -w output.pcap。
• -r <file>：从文件中读取数据包。
  • 描述：分析已保存的 PCAP 文件，结合显示过滤器或字段输出进行处理。
  • 使用方法：tshark -r output.pcap。

3. 输出格式选项

TShark 支持多种输出格式，满足不同分析需求。

• -T <format>：指定输出格式。
  • 描述：控制数据包的显示方式，支持以下格式：
    • text：默认人类可读格式，显示简要数据包信息。
    • pdml：Packet Details Markup Language，XML 格式，包含详细数据包结构。
    • psml：Packet Summary Markup Language，XML 格式，显示摘要信息。
    • json：JSON 格式，适合脚本处理和数据集成。
    • ek：Elastic Common Schema，适合与 Elasticsearch 集成。
    • fields：自定义字段输出，结合 -e 指定字段。
  • 使用方法：tshark -i eth0 -T json。
• -e <field>：指定输出字段（需配合 -T fields）。
  • 描述：提取特定协议字段（如 ip.src、http.request.method），字段名称与 Wireshark 显示过滤器一致。
  • 使用方法：tshark -T fields -e frame.time -e ip.src。
• -E <output option>：控制字段输出的格式。
  • 描述：支持设置分隔符、引号、聚合方式等。
    • separator=<char>：设置字段分隔符（如 separator=,）。
    • quote=<d|s|n>：双引号（d）、单引号（s）或无引号（n）。
    • aggregator=<char>：多值字段的聚合分隔符。
  • 使用方法：tshark -T fields -e ip.src -e ip.dst -E separator=,。

4. 性能优化选项

为提高效率，TShark 提供以下选项：

• -n：禁用名称解析。
  • 描述：禁用主机名、端口名或协议名的解析，减少 DNS 查询和处理时间。
  • 使用方法：tshark -i eth0 -n。
• -l：启用实时输出。
  • 描述：将捕获的数据包实时刷新到终端，适合管道处理。
  • 使用方法：tshark -i eth0 -l | grep "GET"。
• -B <buffer size>：设置捕获缓冲区大小（单位：KB）。
  • 描述：调整内核用于存储数据包的缓冲区大小，减少数据包丢失。
  • 使用方法：tshark -i eth0 -B 1024（设置 1MB 缓冲区）。

5. 协议解码和统计选项

TShark 支持高级协议处理和统计分析。

• -d <layer_type>==<selector>,<decode_as_protocol>：强制解码协议。
  • 描述：将特定流量解码为指定协议，例如将非标准端口的流量解码为 HTTP。
  • 使用方法：tshark -r output.pcap -d tcp.port==8888,http。
• -z <statistics>：生成统计信息。
  • 描述：支持多种统计类型，例如：
    • io,phs：协议层级统计，显示协议分布。
    • conv,tcp：TCP 会话统计，显示源/目的地址、端口和流量。
    • io,stat,<interval>：按时间间隔统计流量。
  • 使用方法：tshark -r output.pcap -z io,phs。

6. 时间戳选项

TShark 支持多种时间戳格式，控制数据包时间的显示方式。

• -t <type>：
  • ad：绝对时间和日期（默认）。
  • r：相对时间（相对于第一个数据包）。
  • d：增量时间（与前一个数据包的间隔）。
  • e：Unix 纪元时间。
  • 使用方法：tshark -i eth0 -t r。

---

过滤规则详解

TShark 的过滤功能是其核心优势，支持捕获过滤器和显示过滤器，分别用于捕获阶段和显示阶段的筛选。

1. 捕获过滤器（-f）

捕获过滤器基于 Berkeley Packet Filter (BPF) 语法，在内核级别过滤数据包，效率高，适合减少捕获的数据量。

• 语法规则：

  • 基本结构：[type] [dir] [value]。
    • type：协议或字段（如 ip、tcp、host）。
    • dir：方向（src、dst、src or dst）。
    • value：具体值（如 IP 地址、端口号）。
  • 逻辑运算：支持 and、or、not。
  • 括号分组：用于复杂表达式，如 (tcp port 80) or (tcp port 443)。

• 常用过滤器：

  • host 192.168.1.100：捕获与指定 IP 相关的流量。
  • src host 8.8.8.8：捕获源 IP 为 8.8.8.8 的流量。
  • port 80：捕获端口 80 的流量。
  • tcp portrange 1000-2000：捕获 TCP 端口 1000-2000 的流量。
  • ip proto icmp：捕获 ICMP 流量。
  • vlan 100：捕获 VLAN ID 为 100 的流量。

• 高级示例：

  • tshark -i eth0 -f "tcp port 80 and host 192.168.1.100"：捕获 192.168.1.100 的 HTTP 流量。
  • tshark -i eth0 -f "not arp and not icmp"：排除 ARP 和 ICMP 流量。

• 注意事项：

  • BPF 语法严格，错误会导致捕获失败。
  • 建议使用工具如 tcpdump 测试过滤器语法，因其与 TShark 的捕获过滤器兼容。

2. 显示过滤器（-Y）

显示过滤器基于 Wireshark 的过滤语法，应用于捕获后的数据包，允许更细粒度的协议字段过滤。

• 语法规则：
  • 字段引用：使用协议字段名（如 ip.src、http.request.method）。
  • 比较运算符：==（等于）、!=（不等于）、>、<、>=、<=。
  • 逻辑运算符：and、or、not。
  • 复杂表达式：支持括号和多条件组合。
• 常用字段：
  • 帧相关：frame.number、frame.time、frame.len。
  • IP 层：ip.src、ip.dst、ip.proto。
  • TCP/UDP：tcp.srcport、tcp.dstport、udp.srcport、udp.dstport。
  • 应用层：http.request.method、dns.qry.name、tls.handshake.type。
• 高级过滤器：
  • http.request.method == "GET"：仅显示 HTTP GET 请求。
  • ip.src == 192.168.1.0/24：显示源 IP 属于 192.168.1.0/24 网段的流量。
  • tcp.flags.syn == 1 and tcp.flags.ack == 0：显示 TCP SYN 数据包（连接建立）。
  • dns.qry.name contains "example.com"：显示包含 example.com 的 DNS 查询。
• 注意事项：
  • 显示过滤器比捕获过滤器更灵活，但对性能影响较大，因为数据包已在内存中处理。
  • 可参考 Wireshark 显示过滤器参考 获取完整字段列表。

---

使用示例

以下是几个精简的示例，展示 TShark 的核心功能。

1. 捕获 HTTP 流量并输出字段：

tshark -i eth0 -f "tcp port 80" -Y "http.request" -T fields -e frame.time -e ip.src -e ip.dst -e http.request.method

• 用途：捕获 HTTP 流量并显示时间戳、源/目的 IP 和请求方法。

2. 分析保存的 PCAP 文件：

tshark -r output.pcap -Y "dns.qry.name" -T fields -e dns.qry.name

• 用途：从 PCAP 文件提取 DNS 查询域名。

3. 统计协议分布：

tshark -r output.pcap -z io,phs

• 用途：显示捕获文件中的协议层级统计。

4. 实时监控 TCP 会话：

tshark -i eth0 -z conv,tcp

• 用途：实时统计 TCP 会话信息。

---

注意事项

1. 权限要求：
   • TShark 需要管理员权限运行捕获命令。Linux 用户可使用 sudo，或配置 dumpcap 的权限。
2. 性能优化：
   • 使用捕获过滤器减少数据量。
   • 禁用名称解析（-n）以提高速度。
   • 调整缓冲区大小（-B）以减少数据包丢失。
3. 文件管理：
   • 使用环形缓冲区（-b）控制输出文件大小。
   • 定期检查磁盘空间，避免捕获文件过大。
4. 过滤器调试：
   • 测试复杂过滤器时，先使用少量数据验证。
   • 结合 Wireshark GUI 调试显示过滤器。

---

结论

TShark 是一款功能强大的命令行工具，适合网络分析、故障排查和安全监控。通过其丰富的选项和灵活的过滤器，用户可以高效捕获和分析网络流量。本文详细介绍了 TShark 的命令行选项（接口、捕获控制、输出格式等）和过滤规则（捕获和显示过滤器），并通过精选示例展示了其应用场景。无论是实时监控、协议分析还是自动化脚本集成，TShark 都能满足多样化需求。建议结合 Wireshark 官方文档 深入学习。