在 Wireshark 程序目錄中，包含兩個命令行捕獲工具。這兩個工具分別是 Dumpcap 和 Tshark。當不能以圖形界面方式捕獲數據時，可以在命令行使用 dumpcap 或 tshark 程序實施捕獲。

一、使用 Dumpcap 捕獲數據

執行 dumpcap -h 可以查看參數詳情。

1、執行?dumpcap -D?查看本機可用的接口。

D:\Program Files (x86)\Wireshark>dumpcap.exe -D 1. \Device\NPF_{ACEA0E58-E009-48BF-A484-A1366798B51D} (鏈湴榪炴帴* 3) 2. \Device\NPF_{BACE2AAC-EC26-4FC4-B385-DDAFE347F309} (VMware Network Adapter VMnet8) 3. \Device\NPF_{B038E4F2-4F55-43AD-9583-3D227791EB37} (鏈湴榪炴帴* 2) 4. \Device\NPF_{3866F6C2-1EFA-4A37-A62B-AE28EF24ABBD} (WLAN) 5. \Device\NPF_{9738C864-0A1F-490E-98FC-49B52AB40490} (VMware Network Adapter VMnet1) 6. \Device\NPF_{E4469318-F5DA-467C-AC80-7B4B91264577} (鏈湴榪炴帴) 顯示亂碼不要介意，可見當前有6個接口。

2、捕獲數據。在捕獲數據時，可以使用-c 或 -a選項指定停止捕獲數據包的條件。本例中選擇捕獲第4個接口上的數據，并且當捕獲文件達到1000KB時自動停止捕獲。執行命令如下所示。

D:\Program Files (x86)\Wireshark>dumpcap -i 4 -a filesize:1000 -w e:\file\Wireshark\1000kb.pcapng Capturing on 'WLAN' File: e:\file\Wireshark\1000kb.pcapng Packets captured: 1296 Packets received/dropped on interface 'WLAN': 1296/0 (pcap:0/dumpcap:0/flushed:0/ps_ifdrop:0) (100.0%) 從輸出的信息中可以看到捕獲的文件名、數據包數。

3、查看生成捕獲文件 100kb.pcapng 的大小。

D:\Program Files (x86)\Wireshark>dir e:\file\Wireshark\1000kb.pcapng驅動器 E 中的卷是 文檔卷的序列號是 000F-D904e:\file\Wireshark 的目錄2016/03/01 18:58 1,000,676 1000kb.pcapng1 個文件 1,000,676 字節0 個目錄 13,512,331,264 可用字節

二、使用 Tshark 捕獲數據

Tshark 是依賴 dumpcap 捕獲數據的。可以通過?tshark -h?查看參數信息。操作如下：

1、打開終端

2、切換到 Wireshark 目錄。執行?tshark -D?命令，查看可用的接口。

D:\Program Files (x86)\Wireshark>tshark -D 1. \Device\NPF_{ACEA0E58-E009-48BF-A484-A1366798B51D} (鏈湴榪炴帴* 3) 2. \Device\NPF_{BACE2AAC-EC26-4FC4-B385-DDAFE347F309} (VMware Network Adapter VMnet8) 3. \Device\NPF_{B038E4F2-4F55-43AD-9583-3D227791EB37} (鏈湴榪炴帴* 2) 4. \Device\NPF_{3866F6C2-1EFA-4A37-A62B-AE28EF24ABBD} (WLAN) 5. \Device\NPF_{9738C864-0A1F-490E-98FC-49B52AB40490} (VMware Network Adapter VMnet1) 6. \Device\NPF_{E4469318-F5DA-467C-AC80-7B4B91264577} (鏈湴榪炴帴) 3、開始捕獲數據。

D:\Program Files (x86)\Wireshark>tshark -i4 -a files:3 -b duration:10 -w e:\file\Wireshark\mytshark.pcapng Capturing on 'WLAN' 1808 以上命令表示指定捕獲4號接口，捕獲3個文件后自動停止，10秒后捕獲下一個文件。

4、查看生成的捕獲文件。

D:\Program Files (x86)\Wireshark>dir e:\file\Wireshark\mytshark*驅動器 E 中的卷是 文檔卷的序列號是 000F-D904e:\file\Wireshark 的目錄2016/03/01 19:17 22,396 mytshark_00001_20160301191653.pcapng 2016/03/01 19:17 753,168 mytshark_00002_20160301191703.pcapng 2016/03/01 19:17 282,500 mytshark_00003_20160301191713.pcapng3 個文件 1,058,064 字節0 個目錄 13,511,270,400 可用字節

三、使用捕獲過濾器

當用戶在命令行捕獲數據時，可能只想捕獲特定的數據。

使用 Dumpcap 指定捕獲過濾器進行數據捕獲。

D:\Program Files (x86)\Wireshark>dumpcap -i4 -f "tcp port 80" -w e:\file\Wireshark\port80.pcapng Capturing on 'WLAN' File: e:\file\Wireshark\port80.pcapng Packets captured: 287 Packets received/dropped on interface 'WLAN': 287/0 (pcap:0/dumpcap:0/flushed:0/ps_ifdrop:0) (100.0%) 輸出的信息顯示了捕獲的包數和捕獲文件名。執行以上命令后，該程序不會自動停止捕獲，需要按下 Ctrl + C 組合鍵停止。使用 Tshark 工具指定捕獲過濾器的參數和 Dumpcap 一樣，這里不再贅述。

四、使用顯示過濾器

在命令行中，使用的顯示過濾器比捕獲過濾器多。

1、使用捕獲過濾器捕獲所有 TCP 數據，并保存該捕獲文件為 tcp.pcapng。

D:\Program Files (x86)\Wireshark>tshark -i4 -f"tcp" -w e:\file\Wireshark\tcp.pcapng Capturing on 'WLAN' 529 2、使用-r參數讀取捕獲文件的ndash，使用-Y參數指定顯示過濾器，并使用-w參數指定保存的新捕獲文件。

D:\Program Files (x86)\Wireshark>tshark -r e:\file\Wireshark\tcp.pcapng -Y "tcp.analysis.flags" -w e:\file\Wireshark\analysisflags.pcapng 執行以上命令后沒有任何輸出信息。但是會生成一個新的捕獲文件。

3、查看新捕獲文件的基本信息。

D:\Program Files (x86)\Wireshark>dir e:\file\Wireshark\analysisflags.pcapng驅動器 E 中的卷是 文檔卷的序列號是 000F-D904e:\file\Wireshark 的目錄2016/03/01 19:31 228 analysisflags.pcapng1 個文件 228 字節0 個目錄 13,510,852,608 可用字節 創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的Wireshark 命令行捕获数据的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。