Linux下Tshark抓包分析实战（linuxtshark）

本文针对如何在Linux中使用Tshark抓包进行详细的分析进行阐述。

Tshark是一款功能强大的命令行包分析器，可以帮助用户进行抓包分析和深入排查网络问题。它是Dumpcap的可扩展前端，属于Wireshark的一部分，可以单独使用。文中给出的基本技术步骤同样适用于Windows平台。

一、安装Tshark

首先，我们需要安装Tshark，可以使用以下命令：

`sudo apt-get install tshark`

如果你没有安装，请使用以下命令更新本地仓库：

`sudo apt-get update`

安装完成后，可以使用以下命令查看Tshark的当前版本：

`tshark -v`

二、使用Tshark抓包

如果要抓取指定端口（10.0.0.2：8080）上的数据，可以使用以下命令：

`tshark -f “tcp port 8080 and host 10.0.0.2” -w capture.pcap`

该命令将捕获所有从10.0.0.2：8080端口发送的数据，并将其保存到本地的capture.pcap文件。

如果要抓取特定网卡（eth0）上的数据，可以使用以下命令：

`tshark -i eth0 -w capture.pcap`

此命令将捕获通过eth0网卡发送的所有数据并将其存储在本地的capture.pcap文件中。

三、读取抓取的数据

我们可以使用以下命令读取之前抓取的数据：

`tshark -r capture.pcap`

我们也可以过滤抓取的数据，比如要过滤HTTP数据，可以使用以下命令：

`tshark -r capture.pcap -Y “http”`

上述命令将只看到HTTP协议报文。

四、生成报告

Tshark可以使用-z参数生成统计报表，比如我们可以使用以下命令生成IO流统计报表：

`tshark -z io,stat,0 -n -q -R “tcp.port eq 8080 and ip.addr eq 10.0.0.2” -r capture.pcap`

生成的报表文件为CSV格式，可以用Excel打开查看。

最后，Tshark提供强大的功能也是有一定的安全隐患，因此在使用时，请确保仅使用它进行安全直接相关的抓包分析。