-a <Autostop-Bedingung für Capture>
Geben Sie ein Kriterium an, das angibt, wann Wireshark das Schreiben in eine Capture-Datei beenden soll. Das Kriterium hat die Form test:Wert, wobei test einer der folgenden Werte ist:
Stopp des Schreibens in eine Capture-Datei nach Ablauf des Sekundenwerts.
Dateigröße:Wert
Stopp des Schreibens in eine Capture-Datei, nachdem sie eine Größe von Kilobyte erreicht hat (wobei ein Kilobyte 1000 Byte und nicht 1024 Byte ist). Wenn diese Option zusammen mit der Option -b verwendet wird, hört Wireshark auf, in die aktuelle Capture-Datei zu schreiben und wechselt zur nächsten, wenn die Dateigröße erreicht ist.
files:value
Stopp des Schreibens in Capture-Dateien, nachdem eine Anzahl von Dateien geschrieben wurde.
-b <capture ring buffer option>
Wenn eine maximale Größe der Capture-Datei angegeben wurde, bewirkt diese Option, dass Wireshark im „Ringbuffer“-Modus mit der angegebenen Anzahl von Dateien läuft. Im „Ringbuffer“-Modus schreibt Wireshark in mehrere Capture-Dateien. Der Name basiert auf der Nummer der Datei und auf dem Erstellungsdatum und der Uhrzeit.
Wenn die erste Capture-Datei voll ist, geht Wireshark dazu über, in die nächste Datei zu schreiben, bis die letzte Datei voll ist, woraufhin die Daten in der ersten Datei verworfen werden (es sei denn, 0 ist angegeben, in diesem Fall ist die Anzahl der Dateien unbegrenzt) und mit dem Schreiben in diese Datei begonnen wird und so weiter.
Wenn die optionale Dauer angegeben wird, wechselt Wireshark auch dann zur nächsten Datei, wenn die angegebene Anzahl von Sekunden verstrichen ist, selbst wenn die aktuelle Datei nicht vollständig gefüllt ist.
Wir wechseln zur nächsten Datei, wenn die angegebene Anzahl von Sekunden verstrichen ist, auch wenn die aktuelle Datei nicht vollständig gefüllt ist.
Dateigröße:Wert
Wir wechseln zur nächsten Datei, wenn sie eine Größe von Kilobyte erreicht hat (wobei ein Kilobyte 1000 Byte und nicht 1024 Byte ist).
files:value
Beginnt wieder mit der ersten Datei, nachdem eine Anzahl von Dateien geschrieben wurde (bildet einen Ringpuffer).
-B <capture buffer size (Win32 only)>
Nur Win32: setzt die Größe des Capture-Puffers (in MB, Standard ist 1MB). Diese Größe wird vom Capture-Treiber verwendet, um Paketdaten zu puffern, bis sie auf die Festplatte geschrieben werden können. Wenn Sie während der Erfassung Paketverluste feststellen, versuchen Sie, diese Größe zu erhöhen.
-c <capture packet count>
Diese Option gibt die maximale Anzahl der zu erfassenden Pakete bei der Erfassung von Live-Daten an. Sie sollte in Verbindung mit der Option -k verwendet werden.
-D
Drucken Sie eine Liste der Schnittstellen, auf denen Wireshark Daten erfassen kann, und verlassen Sie diese. Für jede Netzwerkschnittstelle wird eine Nummer und ein Schnittstellenname, möglicherweise gefolgt von einer Textbeschreibung der Schnittstelle, ausgegeben. Der Schnittstellenname oder die Nummer kann mit dem Flag -i übergeben werden, um eine Schnittstelle zu spezifizieren, die erfasst werden soll.
Dies kann auf Systemen nützlich sein, die keinen Befehl haben, um sie aufzulisten (z.B. Windows-Systeme oder UNIX-Systeme, denen ifconfig -a fehlt); die Nummer kann auf Windows 2000 und späteren Systemen nützlich sein, wo der Schnittstellenname eine etwas komplexe Zeichenkette ist.
Beachten Sie, dass „can capture“ bedeutet, dass Wireshark in der Lage war, das Gerät zu öffnen, um eine Live-Erfassung durchzuführen; wenn auf Ihrem System ein Programm, das eine Netzwerkerfassung durchführt, von einem Konto mit besonderen Rechten (z.B. als root) ausgeführt werden muss, dann wird Wireshark, wenn es mit dem -D-Flag und nicht von einem solchen Konto aus ausgeführt wird, keine Schnittstellen auflisten.
-f <Erfassungsfilter>
Diese Option legt den anfänglichen Erfassungsfilterausdruck fest, der beim Erfassen von Paketen verwendet wird.
-g <Paketnummer>
Nach dem Einlesen einer Erfassungsdatei mit dem Flag -r wird zur angegebenen Paketnummer gewechselt.
-h
Die Option -h fordert Wireshark auf, seine Version und seine Verwendungshinweise (wie oben gezeigt) zu drucken und sich zu beenden.
-i <capture interface>
Setzen Sie den Namen der Netzwerkschnittstelle oder Pipe, die für die Live-Paketaufzeichnung verwendet werden soll.
Der Name der Netzwerkschnittstelle sollte mit einem der Namen übereinstimmen, die inwireshark -D (wie oben beschrieben) aufgelistet sind; es kann auch eine Nummer, wie vonwireshark -D gemeldet, verwendet werden. Wenn Sie UNIX verwenden, können Sie auch netstat-i oder ifconfig -a verwenden, um die Schnittstellennamen aufzulisten, obwohl nicht alle UNIX-Versionen das Flag -a von ifconfig unterstützen.
Wenn keine Schnittstelle angegeben wird, durchsucht Wireshark die Liste der Schnittstellen und wählt die erste Nicht-Loopback-Schnittstelle, wenn es irgendwelche Nicht-Loopback-Schnittstellen gibt, und die erste Loopback-Schnittstelle, wenn es keine Nicht-Loopback-Schnittstellen gibt; wenn es keine Schnittstellen gibt, meldet Wireshark einen Fehler und startet die Erfassung nicht.
Pipe-Namen sollten entweder der Name eines FIFOs (named pipe) oder „-“ sein, um Daten von der Standardeingabe zu lesen. Daten, die von Pipes gelesen werden, müssen im libpcap-Standardformat sein.
-k
Die Option -k gibt an, dass Wireshark sofort mit der Aufzeichnung von Paketen beginnen soll. Diese Option erfordert die Verwendung des Parameters -i, um die Schnittstelle anzugeben, von der die Paketerfassung erfolgen soll.
-l
Diese Option schaltet das automatische Scrollen ein, wenn das Paketlistenfenster automatisch aktualisiert wird, wenn Pakete während einer Erfassung ankommen (wie durch das Flag -S angegeben).
-L
Auflisten der von der Schnittstelle unterstützten Datenverbindungstypen und Beenden.
-m <font>
Diese Option legt den Namen der Schriftart fest, die für die meisten von Wireshark angezeigten Texte verwendet wird. XXX – füge ein Beispiel hinzu!
-n
Deaktiviert die Namensauflösung von Netzwerkobjekten (wie Hostnamen, TCP- und UDPport-Namen).
-N <Namensauflösungsflags>
Schaltet die Namensauflösung für bestimmte Typen von Adressen und Portnummern ein; das Argument ist eine Zeichenkette, die die Buchstaben m enthalten kann, um die Auflösung von MAC-Adressen zu aktivieren, n, um die Auflösung von Netzwerkadressen zu aktivieren, und t, um die Auflösung von Portnummern der Transportschicht zu aktivieren. Dies setzt -n außer Kraft, wenn sowohl -N als auch -n vorhanden sind. Der Buchstabe C aktiviert gleichzeitige (asynchrone) DNS-Lookups.
-o <Präferenz-/Rezenter-Einstellungen>
Setzt einen Präferenz- oder Rezenter-Wert und überschreibt den Standardwert und jeden aus einer Präferenz-/Rezenter-Datei gelesenen Wert. Das Argument für das Flag ist eine Zeichenkette der Form prefname:value, wobei prefname der Name der Präferenz ist (derselbe Name, der auch in der preference/recent-Datei erscheinen würde) und value der Wert, auf den sie gesetzt werden soll. Mehrere Instanzen von -o <Präferenzeinstellungen> können in einer einzigen Befehlszeile angegeben werden.
Ein Beispiel für das Setzen einer einzelnen Präferenz wäre:
wireshark -o mgcp.display_dissect_tree:TRUE
Ein Beispiel für das Setzen mehrerer Einstellungen wäre:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627
Eine Liste aller verfügbaren Einstellungsstrings können Sie der Dateipreferences entnehmen, siehe Anhang A, Dateien und Ordner.
Benutzerzugriffstabellen können mit „uat“, gefolgt von dem UAT-Dateinamen und einem gültigen Datensatz für die Datei, überschrieben werden:
wireshark -o „uat:user_dlts:\“User 0 (DLT=147)\“,\“http\“,\“0\“,\“0\“,\“\“\“““
Das obige Beispiel würde Pakete mit einem libpcap-Datenverknüpfungstyp 147 als HTTP zerlegen, genau wie wenn Sie es in den DLT_USER-Protokollpräferenzen konfiguriert hätten.
-p
Versetzen Sie die Schnittstelle nicht in den Promiscuous-Modus. Beachten Sie, dass sich die Schnittstelle aus einem anderen Grund im Promiscuous-Modus befinden könnte; daher kann -p nicht verwendet werden, um sicherzustellen, dass nur der Datenverkehr erfasst wird, der zu oder von dem Rechner gesendet wird, auf dem Wireshark läuft, sowie Broadcast-Datenverkehr und Multicast-Datenverkehr an Adressen, die von diesem Rechner empfangen werden.
-P <Pfadeinstellung>
Spezielle Pfadeinstellungen werden normalerweise automatisch erkannt. Dies wird für spezielle Fälle verwendet, z.B. zum Starten von Wireshark von einem bekannten Ort auf einem USB-Stick.
Das Kriterium hat die Form Schlüssel:Pfad, wobei Schlüssel einer der folgenden ist:
Pfad der persönlichen Konfigurationsdateien, wie die Voreinstellungsdateien.
persdata:path
Pfad der persönlichen Datendateien, es ist der Ordner, der zuerst geöffnet wurde, nach der Initialisierung behält die letzte Datei den zuletzt verwendeten Ordner.
-Q
Diese Option zwingt Wireshark, sich zu beenden, wenn die Aufzeichnung abgeschlossen ist. Sie kann zusammen mit der Option -c verwendet werden. Sie muss in Verbindung mit den Optionen -i und -w verwendet werden.
-r <infile>
Diese Option gibt den Namen einer Capture-Datei an, die Wireshark lesen und anzeigen soll. Diese Capture-Datei kann in einem der Formate vorliegen, die Wireshark versteht.
-R <read (display) filter>
Diese Option gibt einen Anzeigefilter an, der beim Lesen von Paketen aus einer Capture-Datei angewendet wird. Die Syntax dieses Filters entspricht derjenigen der Anzeigefilter, die in Abschnitt 6.3, „Filtern von Paketen beim Betrachten“, beschrieben werden. Pakete, die dem Filter nicht entsprechen, werden verworfen.
-s <capture snaplen>
Diese Option gibt die Länge des Snapshots an, der beim Erfassen von Paketen verwendet werden soll. Wireshark erfasst nur <snaplen> Bytes an Daten für jedes Paket.
-S
Diese Option legt fest, dass Wireshark Pakete während der Erfassung anzeigt. Dies geschieht, indem die Pakete in einem Prozess aufgezeichnet und in einem separaten Prozess angezeigt werden. Dies entspricht der Option „Liste der Pakete in Echtzeit aktualisieren“ im Dialogfeld „Erfassungsoptionen“.
-t <Zeitstempelformat>
Diese Option legt das Format der Zeitstempel der Pakete fest, die im Paketlistenfenster angezeigt werden. Das Format kann eines der folgenden sein:
-
r relativ, was angibt, dass die Zeitstempel relativ zum ersten erfassten Paket angezeigt werden.
-
a absolut, was bedeutet, dass die tatsächlichen Zeiten für alle Pakete angezeigt werden.
-
ad absolut mit Datum, das angibt, dass tatsächliche Daten und Zeiten für alle Pakete angezeigt werden.
-
d delta, das angibt, dass Zeitstempel relativ zum vorherigen Paket sind.
-
e epoch, die angibt, dass die Zeitstempel Sekunden seit Epoche sind (1. Januar 1970 00:00:00)
-v
Die Option -v fordert Wireshark auf, seine Versionsinformationen auszugeben und sich zu beenden.
-w <savefile>
Diese Option legt den Namen der Speicherdatei fest, die beim Speichern einer Aufzeichnungsdatei verwendet wird.
-y <capture link type>
Wenn ein Capture von der Kommandozeile aus mit -k gestartet wird, legen Sie den Datalink-Typ fest, der beim Erfassen von Paketen verwendet werden soll. Die von -L gemeldeten Werte sind die Werte, die verwendet werden können.
-X <eXtension option>
Geben Sie eine Option an, die an ein TShark-Modul übergeben wird. Die Option eXtension hat die Form extension_key:value, wobei extension_key sein kann:
lua_script:lua_script_filename; Weist Wireshark an, das angegebene Skript zusätzlich zu den Standard-Lua-Skripten zu laden.
-z <statistics-string>
Wireshark sammelt verschiedene Arten von Statistiken und zeigt das Ergebnis in einem Fenster an, das in halber Echtzeit aktualisiert wird.XXX – fügen Sie hier weitere Details hinzu!