Tshark
作为 Wireshark 的命令行版本,Tshark 是网络分析的核心工具。它具备强大的自动化能力,特别适合服务器环境、批量分析和脚本化处理。本文将以 Wireshark 常用命令的视角,分享 Tshark 的最佳实践经验。
Tshark 核心优势
服务器友好
在没有图形界面的服务器环境中,Tshark 是唯一选择。可以直接在 SSH 会话中使用,极大提高了远程故障排查的效率。
脚本化与自动化
Tshark 的真正威力在于自动化分析。它可以轻松集成到监控系统、故障自动诊断脚本和网络性能评估工具中,实现7x24小时的网络状态监控。
资源效率
相比 Wireshark GUI,Tshark 消耗更少的 CPU 和内存资源,在高负载环境下依然能够稳定工作。
安装与环境配置
Linux 环境
1# CentOS/RHEL
2yum install wireshark
3
4# Ubuntu/Debian
5apt-get install tshark
6
7# 配置非root用户权限
8sudo usermod -a -G wireshark $USER
9sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
macOS 环境
1# 通过 Homebrew 安装
2brew install wireshark
3
4# 或安装官方包后使用
5/Applications/Wireshark.app/Contents/MacOS/tshark
核心参数详解
接口管理参数
1# -D: 列出所有可用接口并退出
2tshark -D
3
4# -i <interface>: 指定抓包接口
5# 可以使用接口名称或序号(如下面的例子中的 2 表示 Wi-Fi 接口)
6tshark -i en0 # 使用接口名称
7tshark -i 2 # 使用接口序号
8
9# 同时监听多个接口(需要支持的系统)
10tshark -i eth0 -i eth1
11
12# -i any: 监听所有接口(Linux系统)
13tshark -i any
14
15# -L: 列出指定接口的数据链路层类型
16tshark -i en0 -L
17
18# -I: 启用监控模式(需要硬件支持)
19tshark -i en0 -I
接口序号说明:使用 tshark -D 命令可以看到类似以下输出:
11. ap1
22. en0 (Wi-Fi) # Wi-Fi 接口
33. awdl0 # Apple Wireless Direct Link
412. lo0 (Loopback) # 回环接口
文件操作参数
1# -w <filename>: 将抓取的包写入文件
2tshark -i eth0 -w capture.pcapng
3
4# -r <filename>: 从文件读取并分析包
5tshark -r capture.pcapng
6
7# -b <option>: 循环缓冲区选项(避免单文件过大)
8# filesize:N - 当文件达到N KB时切换到下一个文件
9# files:N - 保持N个文件,超过后覆盖最旧的文件
10tshark -i eth0 -w capture.pcapng -b filesize:100000 -b files:10
11
12# -a <condition>: 自动停止条件
13# duration:N - N秒后停止
14# filesize:N - 文件达到N KB后停止
15# files:N - 创建N个文件后停止
16# packets:N - 抓取N个包后停止
17tshark -i eth0 -w temp.pcapng -a duration:60 -a packets:1000
18
19# -F <format>: 指定输出文件格式
20# pcap - 传统pcap格式
21# pcapng - 新的pcapng格式(默认)
22# 5views - 5Views格式
23tshark -i eth0 -w output.pcap -F pcap
显示控制参数
1# -T <format>: 设置输出格式
2# fields - 只显示指定字段
3# json - JSON格式输出
4# text - 标准文本格式(默认)
5# tabs - 制表符分隔格式
6# psml - PSML XML格式
7# pdml - PDML XML格式
8tshark -r capture.pcapng -T json
9
10# -e <field>: 与 -T fields 配合使用,指定要显示的字段
11# 常用字段:frame.time, ip.src, ip.dst, tcp.port, udp.port
12tshark -i eth0 -T fields -e frame.time -e ip.src -e ip.dst -e tcp.port
13
14# -E <option>: 字段输出选项(仅用于 -T fields)
15# separator=<char> - 设置字段分隔符
16# quote=d - 用双引号包围字段
17# occurrence=f - 只显示首次出现的值
18# aggregator=<char> - 多值字段的聚合分隔符
19tshark -r capture.pcapng -T fields -e ip.src -e ip.dst -E separator=, -E quote=d
20
21# -V: 显示详细的协议解析信息(类似Wireshark的协议树)
22tshark -r capture.pcapng -V
23
24# -x: 同时显示十六进制和ASCII内容
25tshark -r capture.pcapng -x
26
27# -P: 同时显示包摘要和详细信息
28tshark -r capture.pcapng -P
29
30# -S <separator>: 设置字段分隔符(已废弃,使用 -E separator=)
31# -l: 行缓冲输出(实时显示)
32tshark -i eth0 -l
33
34# -q: 安静模式,不显示包内容(用于统计)
35tshark -r capture.pcapng -q -z io,stat,1
捕获控制参数
1# -c <count>: 捕获指定数量的包后停止
2tshark -i eth0 -c 100
3
4# -s <snaplen>: 设置每个包的捕获长度(字节)
5# 0 表示捕获完整包(默认)
6# 68 足够捕获以太网头+IP头+TCP/UDP头
7tshark -i eth0 -s 68 -w headers.pcapng
8
9# -p: 关闭混杂模式(只捕获发往本机的包)
10tshark -i eth0 -p
11
12# -B <size>: 设置内核缓冲区大小(MB)
13# 在高流量环境中增加缓冲区可以减少丢包
14tshark -i eth0 -B 64
15
16# -f <filter>: 设置BPF捕获过滤器(在内核层面过滤,效率高)
17tshark -i eth0 -f "host 192.168.1.1 and port 80"
18
19# --time-stamp-type: 设置时间戳类型
20# host - 主机时间戳(默认)
21# adapter - 网卡硬件时间戳
22# adapter_unsynced - 未同步的网卡时间戳
23tshark -i eth0 --time-stamp-type host
24
25# -n: 禁用网络地址解析(不将IP转换为主机名)
26tshark -i eth0 -n
27
28# -N <name resolve flags>: 选择性启用名称解析
29# m - MAC地址解析
30# n - 网络地址解析
31# t - 传输层端口解析
32# C - 并发DNS查询
33tshark -i eth0 -N mt
34
35# -d <layer_type>==<selector>,<decode_as_protocol>: 强制协议解码
36# 将特定端口的流量解码为指定协议
37tshark -i eth0 -d tcp.port==8080,http
过滤控制参数
1# -Y <display_filter>: 设置显示过滤器(读取后过滤,支持更复杂语法)
2tshark -r capture.pcapng -Y "tcp.port == 80 and http"
3
4# -R <read_filter>: 读取过滤器(已废弃,使用-Y替代)
5# tshark -r capture.pcapng -R "tcp.port == 80"
6
7# -2: 执行两次分析(第一次建立索引,第二次应用过滤器)
8# 对于复杂过滤器和大文件可以提高性能
9tshark -2 -Y "tcp.stream eq 1" -r large_file.pcapng
10
11# -C <config_profile>: 使用指定的配置文件
12tshark -C MyProfile -r capture.pcapng
13
14# --disable-protocol <proto>: 禁用指定协议的解析
15# 可以提高处理大文件的速度
16tshark --disable-protocol http -r capture.pcapng
17
18# --enable-protocol <proto>: 启用指定协议的解析
19tshark --enable-protocol http -r capture.pcapng
过滤技巧
基础过滤器
1# 协议过滤
2tshark -i eth0 -f "tcp"
3tshark -i eth0 -f "udp port 53"
4tshark -i eth0 -f "icmp"
5
6# IP 地址过滤
7tshark -i eth0 -f "host 192.168.1.1"
8tshark -i eth0 -f "net 192.168.0.0/24"
9tshark -i eth0 -f "dst host 8.8.8.8"
10
11# 端口过滤
12tshark -i eth0 -f "port 80"
13tshark -i eth0 -f "portrange 8000-9000"
高级 BPF 过滤
1# 过滤 TCP SYN 包(连接建立分析)
2tshark -i eth0 -f "tcp[tcpflags] & tcp-syn != 0"
3
4# 过滤 TCP RST 包(连接重置分析)
5tshark -i eth0 -f "tcp[tcpflags] & tcp-rst != 0"
6
7# 过滤 HTTP 请求(基于偏移量)
8tshark -i eth0 -f "tcp dst port 80 and (tcp[20:4] = 0x47455420 or tcp[20:4] = 0x504f5354)"
9
10# 过滤 TLS Client Hello
11tshark -i eth0 -f "tcp dst port 443 and tcp[20] = 22 and tcp[25] = 1"
显示过滤器(读取文件时)
1# HTTP 请求分析
2tshark -r capture.pcapng -Y "http.request"
3
4# DNS 查询分析
5tshark -r capture.pcapng -Y "dns.flags.response == 0"
6
7# TCP 连接问题分析
8tshark -r capture.pcapng -Y "tcp.analysis.flags"
9
10# 大包分析(可能的性能问题)
11tshark -r capture.pcapng -Y "frame.len > 1400"
实战场景与最佳实践
1. 网络性能分析
TCP 窗口分析
1# 检查零窗口问题
2tshark -r capture.pcapng -Y "tcp.window_size == 0" \
3 -T fields -e frame.time -e ip.src -e ip.dst -e tcp.window_size
4
5# 分析窗口缩放问题
6tshark -r capture.pcapng -Y "tcp.options.wscale" \
7 -T fields -e ip.src -e ip.dst -e tcp.options.wscale
重传分析
1# 统计重传包
2tshark -r capture.pcapng -Y "tcp.analysis.retransmission" | wc -l
3
4# 详细重传信息
5tshark -r capture.pcapng -Y "tcp.analysis.retransmission" \
6 -T fields -e frame.time -e ip.src -e ip.dst -e tcp.seq
RTT 延迟分析
1# 提取 RTT 信息
2tshark -r capture.pcapng -Y "tcp.analysis.ack_rtt" \
3 -T fields -e frame.time -e ip.src -e ip.dst -e tcp.analysis.ack_rtt
2. 应用层协议分析
HTTP 性能分析
1# HTTP 请求响应时间
2tshark -r capture.pcapng -Y "http" \
3 -T fields -e frame.time -e http.request.method -e http.request.uri \
4 -e http.response.code -e http.time
5
6# 统计 HTTP 状态码分布
7tshark -r capture.pcapng -Y "http.response" \
8 -T fields -e http.response.code | sort | uniq -c | sort -nr
DNS 解析分析
1# DNS 查询延迟分析
2tshark -r capture.pcapng -Y "dns" \
3 -T fields -e frame.time -e dns.qry.name -e dns.time
4
5# DNS 查询类型统计
6tshark -r capture.pcapng -Y "dns.flags.response == 0" \
7 -T fields -e dns.qry.type | sort | uniq -c
TLS/SSL 连接分析
1# TLS 握手时间分析
2tshark -r capture.pcapng -Y "tls.handshake" \
3 -T fields -e frame.time -e ip.src -e ip.dst -e tls.handshake.type
4
5# 证书信息提取
6tshark -r capture.pcapng -Y "tls.handshake.certificate" \
7 -T fields -e ip.src -e x509sat.uTF8String
3. 安全分析
异常连接检测
1# 检测端口扫描行为
2tshark -r capture.pcapng -Y "tcp.flags.syn == 1 and tcp.flags.ack == 0" \
3 -T fields -e ip.src -e tcp.dstport | sort | uniq -c | sort -nr
4
5# 检测 SYN Flood 攻击
6tshark -r capture.pcapng -Y "tcp.flags.syn == 1 and tcp.flags.ack == 0" \
7 -T fields -e ip.src | sort | uniq -c | awk '$1 > 100'
8
9# 检测异常大流量
10tshark -r capture.pcapng -q -z conv,ip | grep -v "←→" | sort -k7 -nr | head -10
协议异常检测
1# 检测恶意 DNS 请求
2tshark -r capture.pcapng -Y "dns and frame.len > 512" \
3 -T fields -e ip.src -e dns.qry.name
4
5# 检测异常 HTTP 行为
6tshark -r capture.pcapng -Y "http.request.method matches \"(PUT|DELETE|TRACE|OPTIONS)\"" \
7 -T fields -e ip.src -e http.request.method -e http.request.uri
统计与报表生成
流量统计
1# 协议层次统计
2tshark -r capture.pcapng -q -z prot,stat
3
4# 对话统计(最活跃的连接)
5tshark -r capture.pcapng -q -z conv,tcp
6
7# IO 统计(时间序列流量)
8tshark -r capture.pcapng -q -z io,stat,1
9
10# 端点统计
11tshark -r capture.pcapng -q -z endpoints,tcp
自定义统计
1# HTTP 响应时间分布
2tshark -r capture.pcapng -Y "http.response" \
3 -T fields -e http.time | awk '{sum+=$1; n++} END {print "Average:", sum/n}'
4
5# TCP 连接建立成功率
6successful=$(tshark -r capture.pcapng -Y "tcp.flags.syn == 1 and tcp.flags.ack == 1" | wc -l)
7attempts=$(tshark -r capture.pcapng -Y "tcp.flags.syn == 1 and tcp.flags.ack == 0" | wc -l)
8echo "Connection success rate: $((successful * 100 / attempts))%"
自动化脚本示例
实时监控脚本
1#!/bin/bash
2# 实时监控异常流量
3INTERFACE="eth0"
4THRESHOLD=1000
5
6while true; do
7 # 监控1秒内的包数量
8 PACKETS=$(timeout 1s tshark -i $INTERFACE -q | grep -o '[0-9]*' | tail -1)
9
10 if [ "$PACKETS" -gt "$THRESHOLD" ]; then
11 echo "[$(date)] High traffic detected: $PACKETS packets/sec"
12 # 触发告警或自动抓包
13 tshark -i $INTERFACE -a duration:30 -w "/tmp/alert_$(date +%s).pcapng" &
14 fi
15
16 sleep 1
17done
批量分析脚本
1#!/bin/bash
2# 批量分析抓包文件
3for file in *.pcapng; do
4 echo "Analyzing $file..."
5
6 # 基础统计
7 echo "Total packets: $(tshark -r $file | wc -l)"
8 echo "TCP packets: $(tshark -r $file -Y tcp | wc -l)"
9 echo "HTTP requests: $(tshark -r $file -Y http.request | wc -l)"
10
11 # 错误分析
12 retrans=$(tshark -r $file -Y "tcp.analysis.retransmission" | wc -l)
13 echo "Retransmissions: $retrans"
14
15 # 性能分析
16 tshark -r $file -Y "tcp.analysis.ack_rtt" -T fields -e tcp.analysis.ack_rtt | \
17 awk '{sum+=$1; n++} END {if(n>0) print "Average RTT:", sum/n "ms"}'
18
19 echo "---"
20done
高级技巧
内存优化
1# 大文件分析时限制内存使用
2tshark -r large_file.pcapng -C 100000 -Y "your_filter"
3
4# 流式处理(不加载整个文件到内存)
5tshark -r capture.pcapng -T fields -e field1 -e field2 | while read line; do
6 # 逐行处理
7 process_line "$line"
8done
性能调优
1# 使用缓冲区优化
2tshark -i eth0 -B 128 -w capture.pcapng
3
4# 关闭不必要的协议解析
5tshark -i eth0 -d tcp.port==8080,data -w capture.pcapng
6
7# 使用过滤器减少处理量
8tshark -i eth0 -f "tcp and port 80" -Y "http" -w filtered.pcapng
输出格式化
1# 自定义时间格式
2tshark -r capture.pcapng -t ad -T fields -e frame.time -e ip.src -e ip.dst
3
4# 格式化 JSON 输出
5tshark -r capture.pcapng -T json | jq '.[]._source.layers'
6
7# CSV 格式输出
8tshark -r capture.pcapng -T fields -E separator=, -E quote=d \
9 -e frame.time -e ip.src -e ip.dst -e tcp.srcport -e tcp.dstport
故障排查实战案例
案例1: 网站响应慢
1# 1. 抓取 HTTP 流量
2tshark -i eth0 -f "port 80" -w http_slow.pcapng -a duration:300
3
4# 2. 分析响应时间
5tshark -r http_slow.pcapng -Y "http.response" \
6 -T fields -e http.request.uri -e http.time | \
7 awk '$2 > 1 {print $1, $2}' | sort -k2 -nr
8
9# 3. 检查 TCP 层问题
10tshark -r http_slow.pcapng -Y "tcp.analysis.flags" \
11 -T fields -e frame.time -e ip.src -e tcp.analysis.flags
案例2: 数据库连接问题
1# 1. 监控数据库端口
2tshark -i eth0 -f "port 3306" -w mysql_debug.pcapng
3
4# 2. 分析连接建立
5tshark -r mysql_debug.pcapng -Y "tcp.flags.syn == 1" \
6 -T fields -e frame.time -e ip.src -e tcp.flags
7
8# 3. 检查连接重置
9tshark -r mysql_debug.pcapng -Y "tcp.flags.reset == 1" \
10 -T fields -e frame.time -e ip.src -e ip.dst
案例3: DNS 解析异常
1# 1. 捕获 DNS 流量
2tshark -i eth0 -f "port 53" -w dns_debug.pcapng -a duration:60
3
4# 2. 分析查询响应时间
5tshark -r dns_debug.pcapng -Y "dns" \
6 -T fields -e frame.time -e dns.qry.name -e dns.time | \
7 awk '$3 > 0.1 {print $0}' | head -20
8
9# 3. 检查失败的查询
10tshark -r dns_debug.pcapng -Y "dns.flags.rcode != 0" \
11 -T fields -e dns.qry.name -e dns.flags.rcode
集成与扩展
与其他工具配合
1# 与 tcpdump 联合使用
2tcpdump -w - | tshark -r -
3
4# 结合 ss/netstat 获取连接状态
5ss -tuln | grep :80
6tshark -i eth0 -f "port 80" -Y "tcp.flags.syn == 1"
7
8# 与系统监控结合
9while true; do
10 load=$(uptime | awk '{print $(NF-2)}' | tr -d ,)
11 if (( $(echo "$load > 2.0" | bc -l) )); then
12 tshark -i eth0 -a duration:30 -w "high_load_$(date +%s).pcapng" &
13 fi
14 sleep 10
15done
自定义协议解析
1# 创建自定义解析器配置
2mkdir -p ~/.wireshark/plugins
3# 添加 Lua 脚本进行自定义协议解析
4
5# 使用自定义解析器
6tshark -X lua_script:custom_protocol.lua -r capture.pcapng
最佳实践总结
抓包策略
- 合理设置过滤器:在抓包时就过滤掉无关流量,减少文件大小
- 循环存储:使用
-b参数避免单个文件过大 - 时间窗口:使用
-a duration控制抓包时长 - 缓冲区优化:根据网络负载调整
-B参数
分析策略
- 分层分析:先看统计信息,再深入具体包
- 时间关联:利用时间戳分析事件序列
- 对比分析:正常情况与异常情况的对比
- 自动化优先:重复性工作通过脚本自动化
性能优化
- 过滤器前置:尽早过滤减少数据处理量
- 字段选择:只提取需要的字段减少输出
- 流式处理:大文件采用流式处理避免内存溢出
- 并行处理:多文件分析时使用并行处理
安全考虑
- 权限控制:严格控制抓包权限
- 数据保护:及时删除敏感抓包文件
- 传输加密:远程传输抓包文件时加密
- 审计日志:记录抓包操作用于审计
专业分析实战案例
数据库性能分析
MySQL 响应时间分析
解决应用和数据库之间的性能争议问题,通过网络抓包直接测量真实响应时间:
1# 分析每个 SQL 的响应时间(包含查询语句)
2tshark -r mysql_traffic.cap -Y "mysql.query or (tcp.srcport==3306)" \
3 -o tcp.calculate_timestamps:true \
4 -T fields -e frame.number -e frame.time_epoch -e frame.time_delta_displayed \
5 -e ip.src -e tcp.srcport -e tcp.dstport -e ip.dst -e tcp.time_delta \
6 -e tcp.stream -e tcp.len -e mysql.query | sort -nk9 -nk1
7
8# 使用 TCP ACK RTT 分析响应时间(更精确)
9tshark -r mysql_traffic.cap -Y "((tcp.srcport eq 3306) and tcp.len>0)" \
10 -o tcp.calculate_timestamps:true \
11 -T fields -e frame.number -e frame.time_epoch -e frame.time_delta_displayed \
12 -e ip.src -e tcp.srcport -e tcp.dstport -e ip.dst -e tcp.time_delta \
13 -e tcp.stream -e tcp.len -e tcp.analysis.ack_rtt
14
15# 自定义端口的 MySQL 协议解析
16tshark -i eth0 -d tcp.port==8507,mysql -T fields -e mysql.query 'port 8507'
17
18# 实时监控特定 IP 的 SQL 语句
19tshark -i eth0 -Y "ip.addr==192.168.1.100" \
20 -d tcp.port==3306,mysql -T fields -e mysql.query 'port 3306'
MySQL 响应时间直方图分析
生成响应时间分布统计,快速识别性能瓶颈:
1# MySQL 响应时间分布统计
2tshark -r mysql.pcap \
3 -Y "mysql.query or (tcp.srcport==3306 and tcp.len>60)" \
4 -o tcp.calculate_timestamps:true \
5 -T fields -e frame.number -e frame.time_epoch -e frame.time_delta_displayed \
6 -e ip.src -e tcp.srcport -e tcp.dstport -e ip.dst -e tcp.time_delta \
7 -e tcp.stream -e tcp.len | \
8 awk 'BEGIN {sum0=0;sum3=0;sum10=0;sum30=0;sum50=0;sum100=0;sum300=0;sum500=0;sum1000=0;sumo=0;count=0;sum=0}
9 {
10 rt=$8;
11 if(rt>=0.000) sum=sum+rt;
12 count=count+1;
13 if(rt<=0.000) sum0=sum0+1;
14 else if(rt<0.003) sum3=sum3+1;
15 else if(rt<0.01) sum10=sum10+1;
16 else if(rt<0.03) sum30=sum30+1;
17 else if(rt<0.05) sum50=sum50+1;
18 else if(rt<0.1) sum100=sum100+1;
19 else if(rt<0.3) sum300=sum300+1;
20 else if(rt<0.5) sum500=sum500+1;
21 else if(rt<1) sum1000=sum1000+1;
22 else sumo=sumo+1;
23 }
24 END {
25 printf "MySQL响应时间分布统计:\n";
26 printf "< 3ms:\t%s\n", sum3;
27 printf "< 10ms:\t%s\n", sum10;
28 printf "< 30ms:\t%s\n", sum30;
29 printf "< 50ms:\t%s\n", sum50;
30 printf "< 100ms:\t%s\n", sum100;
31 printf "< 300ms:\t%s\n", sum300;
32 printf "< 500ms:\t%s\n", sum500;
33 printf "< 1000ms:\t%s\n", sum1000;
34 printf "> 1s:\t%s\n", sumo;
35 printf "平均响应时间: %.6f秒\n", sum/count;
36 }'
SQL 事务分析
验证应用是否正确使用事务,解决数据一致性问题:
1# 实时查看 MySQL 查询语句(包括事务语句)
2tshark -i eth0 -d tcp.port==3306,mysql -T fields -e mysql.query 'port 3306'
3
4# 过滤特定连接的 SQL 语句
5tshark -i eth0 -Y "tcp.srcport==62877" \
6 -d tcp.port==3001,mysql -T fields -e tcp.srcport -e mysql.query 'port 3001'
7
8# 快速查看 SQL 内容(使用 strings 过滤)
9tshark -i any -f 'port 8527' -s 0 -l -w - | strings
HTTP 性能分析
HTTP 响应时间统计
1# 按秒汇总 HTTP 响应时间
2tshark -r http_traffic.cap -Y 'http.time>0' \
3 -T fields -e frame.number -e frame.time_epoch -e frame.time_delta_displayed \
4 -e ip.src -e ip.dst -e tcp.stream -e http.request.full_uri \
5 -e http.response.code -e http.time | \
6 awk '{print int($2), $9}' | \
7 awk '{sum[$1]+=$2; count[$1]+=1}
8 END {
9 for (key in count) {
10 printf "时间=%s \t 请求数=%s \t 平均响应时间=%.6f秒\n",
11 key, count[key], sum[key]/count[key]
12 }
13 }' | sort -k2n
14
15# 分析特定 URL 的响应时间
16tshark -r traffic.cap -Y 'http.response_for.uri contains "api/health"' \
17 -T fields -e frame.number -e frame.time_epoch -e frame.time_delta_displayed \
18 -e ip.src -e ip.dst -e tcp.stream -e http.request.full_uri \
19 -e http.response_for.uri -e http.time
HTTP 请求分析详解
1# 详细的 HTTP 请求响应分析
2tshark -r http.cap -o tcp.calculate_timestamps:true \
3 -Y "http.request or http.response" \
4 -T fields -e frame.number -e frame.time_epoch -e tcp.time_delta \
5 -e ip.src -e ip.dst -e tcp.stream -e http.request.method \
6 -e http.request.uri -e http.response.code -e http.time
7
8# CSV 格式输出 HTTP 分析结果
9tshark -r traffic.cap -Y "http" -T fields -E separator=, -E quote=d \
10 -e frame.time -e ip.src -e ip.dst -e http.request.method \
11 -e http.request.full_uri -e http.response.code -e http.time
高级协议分析
Redis 协议分析
1# 分析 Redis 命令和响应时间
2tshark -i eth0 -f "port 6379" -Y "tcp.len > 0" \
3 -T fields -e frame.time -e ip.src -e ip.dst -e tcp.payload
4
5# Redis 响应时间分析
6tshark -r redis.cap -Y "tcp.port == 6379 and tcp.len > 0" \
7 -o tcp.calculate_timestamps:true \
8 -T fields -e frame.number -e tcp.time_delta -e tcp.stream \
9 -e tcp.srcport -e tcp.dstport -e tcp.len
自定义协议解析
1# 强制将特定端口解析为已知协议
2tshark -i eth0 -d tcp.port==8080,http -Y "http" \
3 -T fields -e http.request.method -e http.request.uri
4
5# 解析多个自定义端口
6tshark -i eth0 -d tcp.port==4444,mysql -d tcp.port==8527,http \
7 -Y "mysql or http" -T fields -e mysql.query -e http.request.uri
批量文件处理
循环文件分析脚本
1#!/bin/bash
2# 批量分析多个抓包文件的响应时间
3for pcap_file in *.pcap; do
4 echo "分析文件: $pcap_file"
5
6 # MySQL 平均响应时间
7 mysql_avg=$(tshark -r "$pcap_file" \
8 -Y "mysql.query or (tcp.srcport==3306 and tcp.len>0)" \
9 -o tcp.calculate_timestamps:true \
10 -T fields -e tcp.time_delta | \
11 awk '{sum+=$1; count++} END {if(count>0) print sum/count; else print 0}')
12
13 # HTTP 平均响应时间
14 http_avg=$(tshark -r "$pcap_file" -Y 'http.time>0' \
15 -T fields -e http.time | \
16 awk '{sum+=$1; count++} END {if(count>0) print sum/count; else print 0}')
17
18 echo "MySQL 平均响应时间: ${mysql_avg}s"
19 echo "HTTP 平均响应时间: ${http_avg}s"
20 echo "---"
21done
定时抓包脚本
1# 每隔3秒生成一个新文件,总共15秒后停止
2tcpdump -t -s 0 tcp port 3306 -w 'dump_%Y-%m-%d_%H:%M:%S.pcap' -G 3 -W 5 -Z root
3
4# 每30分钟生成一个压缩包文件
5nohup tcpdump -i eth0 -t -s 0 tcp and port 3306 \
6 -w 'dump_%Y-%m-%d_%H:%M:%S.pcap' -G 1800 -W 48 -Z root -z gzip &
7
8# 按文件大小分割(每1000MB一个文件)
9nohup tcpdump -i eth0 -t -s 0 tcp and port 3306 \
10 -w 'dump_' -C 1000 -W 300 -Z root -z gzip &
实用测试与验证
验证 tshark 安装和权限
1# 检查 tshark 版本
2tshark --version
3
4# 列出可用接口
5tshark -D
6
7# 测试是否有权限捕获(在回环接口上测试3秒)
8timeout 3s tshark -i lo0 -c 10 2>/dev/null && echo "权限正常" || echo "需要管理员权限"
测试基础功能
1# 生成测试流量并同时捕获(在另一个终端运行)
2# 终端1:开始捕获
3tshark -i lo0 -w test_capture.pcapng &
4TSHARK_PID=$!
5输出:
6[1] 7201
7Capturing on 'Loopback: lo0'
81226
9# 终端2:生成测试流量
10ping -c 5 127.0.0.1
11curl http://httpbin.org/get
12
13# 终端1:停止捕获
14kill $TSHARK_PID
15
16# 验证捕获文件
17tshark -r test_capture.pcapng -c 5
18输出:
19 1 2024-09-23 07:54:00.186974 localhost 51269 localhost 63962 TLSv1.2 1 243 1 0.000000000 299 0x0000 (0) 64 6329 Application Data
20 2 2024-09-23 07:54:00.187001 localhost 63962 localhost 51269 TCP 1 244 0.000027000 56 0x0000 (0) 64 6369 63962 → 51269 [ACK] Seq=1 Ack=244 Win=6369 Len=0 TSval=2980010799 TSecr=785289551
21 3 2024-09-23 07:54:00.202829 localhost 51269 localhost 63961 TLSv1.2 1 319 1 0.000000000 375 0x0000 (0) 64 6328 Application Data
22 4 2024-09-23 07:54:00.202876 localhost 63961 localhost 51269 TCP 1 320 0.000047000 56 0x0000 (0) 64 6372 63961 → 51269 [ACK] Seq=1 Ack=320 Win=6372 Len=0 TSval=2379415212 TSecr=1308603461
23 5 2024-09-23 07:54:00.208436 localhost 51269 localhost 62686 TLSv1.2 1 469 1 0.000000000 525 0x0000 (0) 64 6192 Application Data
验证过滤器语法
1# 测试基础过滤器
2tshark -r test_capture.pcapng -Y "icmp"
3tshark -r test_capture.pcapng -Y "tcp.port == 80"
4
5# 测试字段提取
6tshark -r test_capture.pcapng -T fields -e frame.number -e ip.src -e ip.dst
7
8# 测试统计功能
9tshark -r test_capture.pcapng -q -z io,stat,1
常见问题排查
1# 问题1:权限不足
2# 解决方案(Linux):
3sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/tshark
4# 解决方案(macOS):
5sudo chown $USER /dev/bpf*
6
7# 问题2:接口不存在
8# 解决方案:先查看可用接口
9tshark -D
10
11# 问题3:过滤器语法错误
12# 解决方案:使用 -Y 而不是 -R(已废弃)
13tshark -r file.pcapng -Y "tcp.port == 80" # 正确
14# tshark -r file.pcapng -R "tcp.port == 80" # 错误
15
16# 问题4:输出格式问题
17# 解决方案:明确指定格式
18tshark -r file.pcapng -T fields -e ip.src -E separator=,
性能测试
1# 测试捕获性能(高负载情况)
2tshark -i eth0 -B 64 -w /tmp/performance_test.pcapng -a duration:30 &
3# 同时运行网络负载测试
4iperf3 -c target_server -t 30
5
6# 检查丢包情况
7tshark -r /tmp/performance_test.pcapng -q -z io,stat,1
小结
通过掌握这些 Tshark 的常用技巧,能够高效地进行网络故障诊断、性能优化和安全分析。记住以下要点:
- 参数选择:根据具体需求选择合适的参数组合
- 过滤器优化:优先使用 BPF 过滤器(-f)减少系统负载
- 权限管理:正确配置捕获权限避免权限问题
- 性能调优:合理设置缓冲区大小和捕获长度
- 实践验证:通过实际测试验证命令的有效性
工具只是手段,深入理解网络协议原理才是成为网络分析和解决问题的关键。