数据包内容解析 wireshark数据包分析实战pdf( 四 )

例如：-e frame.number -e ip.addr -e UDP -e _ws.col.info
给人一种协议，而不是一个单一的场将打印有关的协议作为一个单一的场数据的多个项目。字段之间用制表符分隔默认。-E控制打印领域的格式。
-E <现场打印选项>
设置选项控制领域的印刷时-T领域被选中。
选项??有：
标题= Y | N如果Y，打印的使用给定的字段名称的列表-e 作为输出的第一行; 字段名称将使用相同的字符作为字段值中分离出来。默认为。
分离器= / T | /秒| <字符>设置分隔符使用领域。如果/吨标签将会被使用（这是默认值），如果 /秒，一个单一的空间将被使用。否则，可以通过命令行被接受为选择一部分的任何字符都可以使用。
发生= F | L |一个用于具有多个事件字段选择对哪些发生。如果F第一次出现将被使用，如果升最后出现的将被使用，如果一个事件都将使用（这是默认值）。
聚合=，| / S | <字符>设置聚合字符用于具有多次出现的字段。如果，一个逗号将被使用（这是默认值），如果/秒，一个单一的空间将被使用。否则，可以通过命令行被接受为选择一部分的任何字符都可以使用。
报价= D | S | N，设置引号字符使用环绕领域 e 使用双引号，单引号，暂无报价（默认值）。
-f <捕获过滤器>
设置捕捉过滤器表达式。
这个选项可以出现多次。如果第一次出现之前使用-i选项，它设置默认的捕获过滤器表达式。如果使用后-i选项，它为在最后指定的接口捕获过滤表达式-i此选项之前发生的选项。如果捕获过滤器表达式没有设置具体而言，如果所提供的默认捕获筛选表达式中使用。
-F <文件格式>
设置使用写入的输出捕获文件的文件格式-w 选项。写有输出-w选项是原始数据包数据，没有文字，所以没有-F选项来要求的文本输出。选项-F 没有价值将列出可用的格式。
-i <捕捉接口> | –
设置网络接口或管道的名称，用于现场数据包捕获。
网络接口名称应与所列出的名称之一“ tshark的-D（如上所述）“; 一个数字，所报告的“ tshark的-D “，也可以使用。如果您使用的是UNIX，“ netstat的-i “或” 使用ifconfig -a “也可能工作获得的接口名，虽然不是所有的UNIX版本都支持-a选项的ifconfig 。
如果不指定接口，tshark的搜索列表界面，选择第一个非回送接口，如果有任何非Loopback接口，并选择第一个loopback接口，如果没有非环回接口。如果没有接口可言，tshark的报告错误，不执行捕捉。
管道名即可以是FIFO（命名管道）的名称或“ – ”从标准输入读取数据。从管道读取的数据必须是标准的PCAP格式。
这个选项可以出现多次。当从多个接口捕获，捕获文件将被保存在PCAP-ng的格式。
注：Win32版本的tshark的不支持从管道捕捉！
-r <INFILE>
读取数据包INFILE，可以是任何支持的捕捉文件格式（包括gzip压缩文件）。也可以使用命名管道或标准输入（ – ）在这里，但只能使用特定的（未压缩的）捕获的文件格式（特别是：那些可无求向后读取）。
-w <OUTFILE> | –
写入原始分组数据OUTFILE或标准输出，如果 OUTFILE为“ – ” 。
注：-w提供原始数据包数据，而不是文字。如果你想文本输出需要重定向标准输出（例如，使用’>’），不使用-w 选项这一点。
-W <文件格式选项>
保存在文件中的额外信息，如果该格式支持它。例如，
-F pcapng -W?
将节省主机名解析记录以及捕获的数据包。
Wireshark的未来版本可能会采集格式自动更改为 pcapng需要。

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容，希望对您有所帮助：