工具简介tshark 是 Wireshark 的命令行版本一款开源的网络协议分析器用于捕获、解析和分析网络流量。⚙️ 核心功能功能说明数据包捕获实时抓取网络流量协议解析支持 HTTP、DNS、TCP、UDP、SMTP 等数百种协议流量过滤支持 BPF 过滤表达式和显示过滤器文件操作抓包结果保存为 pcap/pcapng 格式统计分析内置多种流量统计功能 tshark vs Wireshark 对比对比项tsharkWireshark界面命令行无 GUI图形界面GTK/Qt资源消耗轻量低内存占用较占用资源适用场景服务器、远程连接、自动化脚本本地交互式分析抓包方式适合长期抓包、后台运行适合临时抓包、即时分析数据展示文本输出适合 grep/awk 处理可视化树状结构展示学习成本需要熟悉命令行图形化更容易上手性能高性能适合大流量大流量时可能卡顿部署方式可远程 SSH 使用需要本地安装 使用场景1. 应急响应与安全分析分析可疑流量定位攻击行为识别恶意通信Webshell、远控木马检测异常协议DNS 隧道、ICMP 隧道2. 渗透测试抓包分析 SQL 注入、XSS 等漏洞利用提取攻击者发送的 payload验证漏洞利用是否成功3. 故障排查分析网络延迟、丢包问题查看 TCP/UDP 连接状态定位服务无法访问的原因4. CTF 竞赛MISC 方向流量分析取证题从 pcap 中提取隐藏数据还原文件传输内容5. 自动化与批量处理编写脚本批量分析流量与其他工具联动grep、awk、Python定时抓包并生成报告 常用命令速查# 基础抓包 tshark -i eth0 -c 100 # 抓 100 个包 tshark -i eth0 -w out.pcap # 保存到文件 tshark -D # 列出可用网卡 # 过滤表达式 -Y http # HTTP 流量 -Y ip.addr 192.168.1.1 # 特定 IP -Y dns # DNS 查询 -Y tcp.port 80 # 80 端口 -Y http.request.method POST # POST 请求 # 读取 pcap 文件 tshark -r out.pcap -Y http # 分析文件 tshark -r out.pcap -q -z http,stat # HTTP 统计 tshark -r out.pcap -q -z ip,stat # IP 统计 tshark -r out.pcap -T fields -e http.request.uri # 提取字段 # 提取关键信息 -T fields -e ip.src -e ip.dst # 提取源/目的 IP -T fields -e http.host -e http.request.uri # 提取 URL 选型建议场景推荐工具本地临时分析、学习网络协议Wireshark远程服务器抓包、自动化脚本tshark大流量长期抓包tshark快速定位问题、过滤数据包Wireshark批量处理、编写分析脚本tshark