Linuxコマンド辞典 tsharkコマンド(ネットワーク)
パケットをダンプし、ダンプしたファイルを解析して表示する「tshark」コマンドの概要と使い方を記載しています。
RHEL Fedora CentOS Vine Deblan Ubuntu Plamo
概要・使用方法
書式
$ tshark [オプション]ネットワークプロトコルアナライザです。tcpdumpで保存したパケットダンプファイルを読み込んで解析、wiresharkのようなGUIを用意せずに結果を表示、tcpdumpのようにパケットダンプを表示し、ファイルに書き込むことができます。CUI環境でtcpdumpとwiresharkの機能を使いたい時に重宝します。パケットダンプを開始した後は、Ctrl+cでダンプを停止し、tsharkの実行を終了します。
オプション
| -i インターフェース | ネットワークインターフェースを指定する |
| -D | インターフェース一覧を表示する |
| -c パケット数 | 指定したパケット数で処理を終了する |
| -f フィルタ | フィルタにマッチしたパケットを表示する |
| -n | 名前解決を行わない |
| -w ファイル名 | キャプチャパケットの出力ファイルを指定する |
| -r ファイル名 | 読み込むパケットダンプファイルを指定する |
| -x | 16進数ダンプを表示する |
| -z 状態 | 統計情報を出力する |
インターフェース一覧を表示する
$ tshark -D実行結果
[rin@centos ~]$ tshark -D
1. ciscodump (Cisco remote capture)
2. sshdump (SSH remote capture)
3. udpdump (UDP Listener remote capture)
[rin@centos ~]$ 特定のインターフェースを通るパケットをキャプチャして保存する
$ tshark -i インターフェース -w ファイルパス実行結果
[root@centos ~]# tshark -i eth0 -w /tmp/tcp.dump
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
58 ^C
[root@centos ~]# 統計できる状態を表示する
$ tshark -z a実行結果
[root@centos ~]# tshark -z a
Running as user "root" and group "root". This could be dangerous.
tshark: Invalid -z argument "a"; it must be one of:
afp,srt
ancp,tree
ansi_a,bsmap
ansi_a,dtap
ansi_map
bacapp_instanceid,tree
bacapp_ip,tree
bacapp_objectid,tree
bacapp_service,tree
bootp,stat
camel,counter
camel,srt
collectd,tree
compare
conv,bluetooth
conv,eth
・
・
・特定のポートと送信元を指定してパケットを取得する
送信元を特定して、特定のインターフェースとポート番号で受け取るパケットをダンプする方法
$ tshark -i インターフェース -f 'port ポート番号 and src host IPアドレス' -c 取得するパケット数実行結果
[root@centos ~]# tshark -i eth0 -f 'port 2 and src host 192.168.0.29' -c 8
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
^C0 packets captured
[root@centos ~]#