我正在使用 TShark 命令行来开始新的捕获。如果我使用这个命令 tshark.exe -w C:\test.pcap -i (my interface number) 我将捕获保存在我的硬盘驱动器上,这是需要的,但是这个命令的输出显示接收到的数据包数量、一直在更新的数量以及我无法获得的输出。
使用这个命令:tshark.exe -i(我的接口号)我可以看到数据包的详细信息,我可以得到进程输出以便在我的表单(win表单)上显示它,直到现在我找不到任何可以显示数据包详细信息并将捕获文件保存在硬盘驱动器上的命令。如果我使用这个命令: tshark.exe -i (my interface number) -w C:\test.pcap 我可以保存捕获,但输出与第一个示例一样,没有数据包详细信息。 也许有人可以帮我解决这个问题?
【问题讨论】:
标签: windows command-line wireshark
tshark 似乎是“Windows 的 tcpdump”
你有两个选择
1:根据您的目的修改 tshark(您可能需要知道如何用 C 进行编程)
2:将原始输出写入管道并将其写入文件和应用程序。 (或者让您的应用程序读取管道并写入文件)
【讨论】:
使用-V 标志。
这会启用详细模式。
根据所需的日志记录强度和级别,我会建议将其与 -x 一起使用。
【讨论】:
tshark.exe -i (int_number) -V -x -w C:\test.pcap 应该可以解决问题。刚刚在 Windows XP 机器上试了一下就可以了。
-x 应该输出 ASCII/HEX 数据包数据。离开-V,然后重试。
tshark.exe -i int -xqPlns 1500 > C:\text.pcap