轉載自：http://www.centoscn.com/IT/2013/0331/180.html

centos下安裝wireshark相當簡單.兩條命令就夠了.這裡.主要是記錄寫使用方面的東西

安裝:
1、yum install wireshark。注意這樣並無法使用wireshark命令和圖形介面。但提供了抓包基本功能。
2、yum install wireshark-gnome。這樣就可以方便的使用了。

如果能登入圖形介面終端.那使用和windows下的無區別.但我們的伺服器都在國外.要管理的話都是SSH登入只能用命令行了。使用wireshark的命令列工具tshark，在安裝的時候會預設給安裝上的，使用方法很簡單，要捕捉包： tshark -wpacket.txt -i etho -q 這樣就會把捕捉到的網路包存放在packet.txt檔案裡面，要檢視詳情的話： tshark -rpacket.txt -x -V|more即可.

下面理一下所有引數的作用:

-a
設定一個標準用來指定Wireshark什麼時候停止捕捉檔案。標準的格式為 test:value,test值為下面中的一個。

duration:value
當捕捉持續描述超過Value值，停止寫入捕捉檔案。

filesize:value
當捕捉檔案大小達到Value值kilobytes(kilobytes表示1000bytes,而不是1024 bytes)，停止寫入捕捉檔案。如果該選項和-b選項同時使用，Wireshark在達到指定檔案大小時會停止寫入當前捕捉檔案，並切換到下一個檔案。

files:value
當檔案數達到Value值時停止寫入捕捉檔案

-b
如果指定捕捉檔案最大尺寸，因為Wireshark執行在”ring buffer”模式，被指定了檔案數。在”ring buffer”模式下，Wireshark 會寫到多個捕捉檔案。它們的名字由檔案數和建立日期，時間決定。

當第一個捕捉檔案被寫滿，Wireshark會跳轉到下一個檔案寫入，直到寫滿最後一個檔案，此時Wireshark會丟棄第一個檔案的資料(除非將files設定為0，如果設定為0，將沒有檔案數限制)，將資料寫入該檔案。

如果duration選項被指定，當捕捉持續時間達到指定值的秒數，Wireshark同樣會切換到下個檔案，即使檔案未被寫滿。

duration:value
當捕捉持續描述超過Value值，即使檔案未被寫滿，也會切換到下個檔案繼續寫入。

filesize:value
當檔案大小達到value值kilobytes時(kelobyte表示1000bytes,而不是1024bytes)，切換到下一個檔案。

files:value
當檔案數達到value值時，從第一個檔案重新開始寫入。

-B
僅適合Win32:設定檔案緩衝大小(單位是MB,預設是1MB).被捕捉驅動用來緩衝包資料，直到達到緩衝大小才寫入磁碟。如果捕捉時碰到丟包現象，可以嘗試增大它的大小。

-c
實時捕捉中指定捕捉包的最大數目，它通常在連線詞-k選項中使用。

-D
列印可以被Wireshark用於捕捉的介面列表。每個介面都有一個編號和名稱(可能緊跟在介面描述之後？)會被列印，介面名或介面編號可以提供給-i引數來指定進行捕捉的介面(這裡列印應該是說在螢幕上列印)。

在那些沒有命令可以顯示列表的平臺(例如Windows,或者缺少ifconfig -a命令的UNIX平臺)這個命令很有用;介面編號在Windows 2000及後續平臺的介面名稱通常是一些複雜字串，這時使用介面編號會更方便點。

注意，”可以被Wireshark用於捕捉”意思是說：Wireshark可以開啟那個裝置進行實時捕捉；如果在你的平臺進行網路捕捉需要使用有特殊許可權的帳號(例如root，Windows下的Administrators組)，在沒有這些許可權的賬戶下新增-D不會顯示任何介面。引數

-f
設定捕捉時的內建過濾表示式

-g 在使用-r引數讀取捕捉檔案以後，使用該引數跳轉到指定編號的包。

-h
-h選項請求Wireshark列印該版本的命令使用方法(前面顯示的)，然後退出。

-i
設定用於進行捕捉的介面或管道。

網路介面名稱必須匹配Wireshark -D中的一個；也可以使用Wireshark -D顯示的編號，如果你使用UNIX,netstat -i或者ifconfig -a獲得的介面名也可以被使用。但不是所有的UNIX平臺都支援-a,ifconfig引數。

如果未指定引數，Wireshark會搜尋介面列表，選擇第一個非環回介面進行捕捉，如果沒有非環回介面，會選擇第一個環回介面。如果沒有介面，wireshark會報告錯誤，不執行捕捉操作。

管道名即可以是FIFO(已命名管道)，也可以使用”-”讀取標準輸入。從管道讀取的資料必須是標準的libpcap格式。

-k
-k選項指定Wireshark立即開始捕捉。這個選項需要和-i引數配合使用來指定捕捉產生在哪個介面的包。

-l
開啟自動滾屏選項，在捕捉時有新資料進入，會自動翻動”Packet list”面板（同-S引數一樣）。

-m
設定顯示時的字型（編者認為應該新增字體範例）

-n
顯示網路物件名字解析(例如TCP,UDP埠名，主機名)。

-N
對特定型別的地址和埠號開啟名字解析功能；該引數是一個字串，使用m可以開啟MAC地址解析，n開啟網路地址解析，t開啟傳輸層埠號解析。這些字串在-n和-N引數同時存在時優先順序高於-n，字母C開啟同時(非同步)DNS查詢。

-o 設定首選項或當前值，覆蓋預設值或其他從Preference/recent file讀取的引數、檔案。該引數的值是一個字串，形式為 prefname:value,prefnmae是首選項的選項名稱(出現在preference/recent file上的名稱)。value是首選項引數對應的值。多個-o 可以使用在單獨命中中。

設定單獨首選項的例子：

wireshark -o mgcp.display_dissect_tree:TRUE

設定多個首選項引數的例子：

wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627-p
不將介面設定為雜收模式。注意可能因為某些原因依然出於雜收模式；這樣，-p不能確定介面是否僅捕捉自己傳送或接受的包以及到該地址的廣播包，多播包

-Q
禁止Wireshark在捕捉完成時退出。它可以和-c選項一起使用。他們必須在出現在-i -w連線詞中。

-r
指定要讀取顯示的檔名。捕捉檔案必須是Wireshark支援的格式。

-R
指定在檔案讀取後應用的過濾。過濾語法使用的是顯示過濾的語法，，不匹配的包不會被顯示。

-s
設定捕捉包時的快照長度。Wireshark屆時僅捕捉每個包位元組的資料。

-S
Wireshark在捕捉資料後立即顯示它們，通過在一個程序捕捉資料，另一個程序顯示資料。這和捕捉選項對話方塊中的”Update list of packets in real time/實時顯示資料”功能相同。

-t

r 相對的，設定所有包時間戳顯示為相對於第一個包的時間。

a absolute,設定所有包顯示為絕對時間。

ad 絕對日期，設定所有包顯示為絕對日期時間。

d delta 設定時間戳顯示為相對於前一個包的時間

e epoch 設定時間戳顯示為從epoch起的妙數(1970年1月1日 00:00:00起)

-v
請求Wireshark打印出版本資訊，然後退出

-w
在儲存檔案時以savefile所填的字元為檔名。

-y
如果捕捉時帶有-k引數，-y將指定捕捉包中資料鏈接型別。The values reported by -L are the values that can be used.

-X
設定一個選項傳送給TShark 模組。eXtension 選項使用extension_key:值形式，extension_key:可以是：

lua_script:lua_script_filename,它告訴Wireshark載入指定的指令碼。預設指令碼是Lua scripts.

-z
得到Wireshark的多種型別的統計資訊，顯示結果在實時更新的視窗。

用LogParser分析WireShark的包

轉載註明(LINUXQQ)