我知道 WireShark 允许实时数据包捕获以及在 GUI 中显示详细信息。是否有任何类似的程序在 CLI 而不是 GUI 上运行?这旨在用于服务器安装,其中只有 CLI 可用(并且磁盘空间有限,以至于无法安装软件包的依赖项wireshark
(即 GUI 的软件包)。
答案1
当然,tshark
(text shark) 是相同的程序,但是具有非交互式命令行界面。
您还可以在服务器上运行 tshark,并通过 ssh 将捕获的内容传输到在其他地方运行的 wireshark gui。
例如:
mbp@joy% sudo tshark -i wlan0 -p -R 'http'
Capturing on wlan0
3.929359 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1
4.104763 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 301 Moved Permanently (text/html)
4.118925 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1
4.295749 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 302 Found (text/html)
4.355713 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1
4.560568 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 200 OK (text/html)
4.588767 192.168.178.22 -> 66.102.11.104 HTTP GET /images/nav_logo40.png HTTP/1.1
您还可以tshark ... |tee packetlog
这样做,使其同时出现在屏幕上和文件中。
或者,tshark -w stuff.pcap
如果您想进行更深入的调查,可以将原始数据包写入该文件,然后将其复制到另一台机器并在 wireshark gui 中打开。