tshark – Wireshark command line tool

Wireshark gui 很吃資源，打開程式就死當

使用 command line tool “tshark” 就沒問題了

windows 系統為例

底下指令

1. 列出現在的網路介面

PS C:\Program Files\Wireshark> ^C
PS C:\Program Files\Wireshark> ^C
PS C:\Program Files\Wireshark> .\tshark.exe -D
1. \Device\NPF_{38D018FF-8738-45CD-AA7F-27945699DEB0} (VirtualBox Host-Only Network #4)
2. \Device\NPF_{712B91F4-2935-43F1-8EF0-CF96EEAA9436} (銋云蝬脰楝 3)
3. \Device\NPF_{0320428E-FD78-4053-AF72-A73F6620083B} (銋云蝬脰楝)
4. \Device\NPF_{362554FF-1063-4EA1-9D92-AE72742290DB} (銋云蝬脰楝 2)
5. \\.\USBPcap1 (USBPcap1)

2. 抓取封包

只監聽網路介面 nterface 3 的流量
只抓取跟 host 118.220.173.20 有關的封包
結果寫入 ps20180802.pcapng 檔案

PS C:\Program Files\Wireshark> .\tshark.exe -i 3 -w ps20180802.pcapng -f “host 118.220.173.20”

3. 限定存檔大小
後面加上 -a filesize:數字
5 代表 5kb
5000 代表 5MB
10000 代表 10MB

PS C:\Program Files\Wireshark> .\tshark.exe -i 3 -w psynet20180802_2.pcapng -f “host 118.220.173.20” -a filesize:10000