-a <condición de parada automática de captura>
Especificar un criterio que especifique cuándo Wireshark debe dejar de escribir en un archivo de captura. El criterio es de la forma prueba:valor, donde prueba es uno de los siguientes:
Dejar de escribir en un archivo de captura después de que haya transcurrido un valor de segundos.
tamaño del archivo:valor
Dejar de escribir en un archivo de captura después de que alcance un tamaño de valorkilobytes (donde un kilobyte es 1000 bytes, no 1024 bytes). Si esta opción se usa junto con la opción -b, Wireshark dejará de escribir en el archivo de captura actual y cambiará al siguiente si se alcanza el tamaño de archivo.
archivos:valor
Deja de escribir en los archivos de captura después de que se haya escrito el valor número de archivos.
-b <opción de búfer de anillo de captura>
Si se especificó un tamaño máximo de archivo de captura, esta opción hace que Wireshark se ejecute en modo de «búfer de anillo», con el número de archivos especificado. En el modo «ringbuffer», Wireshark escribirá en varios archivos de captura. Su nombre se basa en el número del archivo y en la fecha y hora de creación.
Cuando el primer archivo de captura se llene, Wireshark pasará a escribir en el siguiente archivo, hasta que se llene el último, momento en el que descartará los datos del primer archivo (a menos que se especifique 0, en cuyo caso, el número de archivos es ilimitado) y comenzará a escribir en ese archivo y así sucesivamente.
Si se especifica la duración opcional, Wireshark también pasará al siguiente archivo cuando haya transcurrido el número de segundos especificado, incluso si el archivo actual no está completamente lleno.
Cambia al siguiente archivo cuando haya transcurrido el valor de segundos, incluso si el archivo actual no está completamente lleno.
filesize:value
Cambia al siguiente archivo después de que alcance un tamaño de valor kilobytes(donde un kilobyte es 1000 bytes, no 1024 bytes).
archivos:valor
Empezar de nuevo con el primer archivo después de que el valor número de archivos fueron escritos (formar un búfer de anillo).
-B <tamaño del búfer de captura (sólo Win32)>
Sólo Win32: establecer el tamaño del búfer de captura (en MB, por defecto es 1MB). Esto es utilizado por el controlador de captura para almacenar los datos de los paquetes hasta que los datos puedan ser escritos en el disco. Si encuentra caídas de paquetes durante la captura, intente aumentar este tamaño.
-c <conteo de paquetes de captura>
Esta opción especifica el número máximo de paquetes a capturar cuando se capturan datos en vivo. Se utilizaría junto con la opción -k.
-D
Imprime una lista de las interfaces en las que Wireshark puede capturar, y sale. Para cada interfaz de red, se imprime un número y un nombre de interfaz, posiblemente seguido de una descripción de texto de la interfaz. El nombre de la interfaz o el número puede ser suministrado a la bandera -i para especificar una interfaz en la que capturar.
Esto puede ser útil en sistemas que no tienen un comando para listarlos (por ejemplo, sistemas Windows, o sistemas UNIX que carecen de ifconfig -a); el número puede ser útil en sistemas Windows 2000 y posteriores, donde el nombre de la interfaz es una cadena algo compleja.
Nótese que «puede capturar» significa que Wireshark pudo abrir ese dispositivo para hacer una captura en vivo; si, en su sistema, un programa que hace una captura de red debe ser ejecutado desde una cuenta con privilegios especiales (por ejemplo, como root), entonces, si Wireshark es ejecutado con la bandera -D y no es ejecutado desde tal cuenta, no listará ninguna interfaz.
-f <filtro de captura>
Esta opción establece la expresión inicial del filtro de captura que se utilizará al capturar paquetes.
-g <número de paquete>
Después de leer en un archivo de captura usando la bandera -r, ir al número de paquete dado.
-h
La opción -h solicita a Wireshark que imprima su versión e instrucciones de uso (como se muestra arriba) y salga.
-i <interfaz de captura>
Establece el nombre de la interfaz de red o la tubería a utilizar para la captura de paquetes en vivo.
Los nombres de las interfaces de red deben coincidir con uno de los nombres listados enwireshark -D (descrito anteriormente); también se puede utilizar un número, como el reportado porwireshark -D. Si está usando UNIX, netstat-i o ifconfig -a también pueden funcionar para listar los nombres de las interfaces, aunque no todas las versiones de UNIX soportan la bandera -a de ifconfig.
Si no se especifica ninguna interfaz, Wireshark busca en la lista de interfaces, eligiendo la primera interfaz no loopback si hay alguna interfaz no loopback, y eligiendo la primera interfaz loopback si no hay interfaces no loopback; si no hay interfaces, Wireshark informa de un error y no inicia la captura.
Los nombres de las tuberías deben ser el nombre de un FIFO (tubería con nombre) o «-» para leer datos de la entrada estándar. Los datos leídos desde las tuberías deben tener el formato estándar de libpcap.
-k
La opción -k especifica que Wireshark debe empezar a capturar paquetes inmediatamente. Esta opción requiere el uso del parámetro -i para especificar la interfaz desde la que se realizará la captura de paquetes.
-l
Esta opción activa el desplazamiento automático si el panel de la lista de paquetes se actualiza automáticamente a medida que llegan los paquetes durante una captura (como lo especifica la bandera -S).
-L
Enumerar los tipos de enlace de datos soportados por la interfaz y salir.
-m <font>
Esta opción establece el nombre de la fuente utilizada para la mayoría del texto mostrado por Wireshark. XXX – ¡añade un ejemplo!
-n
Desactiva la resolución de nombres de objetos de red (como nombres de host, TCP y UDPport).
-N <banderas de resolución de nombres>
Activa la resolución de nombres para determinados tipos de direcciones y números de puerto; el argumento es una cadena que puede contener las letras m para activar la resolución de direcciones MAC, n para activar la resolución de direcciones de red y t para activar la resolución de números de puerto de la capa de transporte. Esto anula -n si tanto -N como -n están presentes. La letra C habilita las búsquedas DNS concurrentes (asíncronas).
-o <configuración de preferencia/reciente>
Establece un valor de preferencia o reciente, anulando el valor por defecto y cualquier valor leído de un archivo de preferencia/reciente. El argumento de la bandera es una cadena de la forma prefname:value, donde prefname es el nombre de la preferencia (que es el mismo nombre que aparecería en el archivo de preferencias/recientes), y value es el valor al que se debe establecer. Se pueden dar múltiples instancias de -o <configuración de preferencias> en una sola línea de comando.
Un ejemplo de establecer una sola preferencia sería:
wireshark -o mgcp.display_dissect_tree:TRUE
Un ejemplo de establecer múltiples preferencias sería:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627
Puede obtener una lista de todas las cadenas de preferencias disponibles en el archivopreferences, consulte el Apéndice A, Archivos y carpetas.
Las tablas de acceso de los usuarios pueden anularse utilizando «uat», seguido del nombre del archivo UAT y un registro válido para el archivo:
wireshark -o «uat:user_dlts:\ «Usuario 0 (DLT=147)\»,\ «http\»,\ «0\»,\ «0\»,\ «\»»
El ejemplo anterior diseccionaría los paquetes con un tipo de enlace de datos 147 de libpcap como HTTP, igual que si lo hubiera configurado en las preferencias del protocolo DLT_USER.
-p
No poner la interfaz en modo promiscuo. Tenga en cuenta que la interfaz podría estar en modo promiscuo por alguna otra razón; por lo tanto, -p no se puede utilizar para asegurar que el único tráfico que se captura es el tráfico enviado hacia o desde la máquina en la que se está ejecutando Wireshark, el tráfico de difusión y el tráfico de multidifusión a las direcciones recibidas por esa máquina.
-P <configuración de la ruta>
Configuración de la ruta especial que suele detectarse automáticamente. Esto se utiliza para casos especiales, por ejemplo, iniciar Wireshark desde una ubicación conocida en una memoria USB.
El criterio es de la forma clave:ruta, donde clave es una de:
ruta de los archivos de configuración personal, como los archivos de preferencias.
persdata:path
ruta de los archivos de datos personales, es la carpeta que se abre inicialmente.Después de la iniciación, el archivo reciente mantendrá la carpeta que se utilizó por última vez.
-Q
Esta opción obliga a Wireshark a salir cuando se completa la captura. Se puede utilizar con la opción -c. Debe utilizarse junto con las opciones -i y -w.
-r <infile>
Esta opción proporciona el nombre de un archivo de captura para que Wireshark lo lea y lo muestre. Este archivo de captura puede estar en uno de los formatos que Wireshark entiende.
-R <filtro de lectura (visualización)>
Esta opción especifica un filtro de visualización que se aplicará al leer los paquetes de un archivo de captura. La sintaxis de este filtro es la de los filtros de visualización discutidos en la Sección 6.3, «Filtrado de paquetes durante la visualización». Los paquetes que no coinciden con el filtro son descartados.
-s <captura snaplen>
Esta opción especifica la longitud de la instantánea a utilizar cuando se capturan paquetes. Wireshark sólo capturará <snaplen> bytes de datos para cada paquete.
-S
Esta opción especifica que Wireshark mostrará los paquetes mientras los captura. Esto se hace capturando en un proceso y mostrándolos en un proceso separado. Esto es lo mismo que «Actualizar lista de paquetes en tiempo real» en el cuadro de diálogo Opciones de Captura.
-t <formato de marca de tiempo>
Esta opción establece el formato de las marcas de tiempo de los paquetes que se muestran en la ventana de la lista de paquetes. El formato puede ser uno de:
-
r relativo, que especifica que las marcas de tiempo se muestran en relación con el primer paquete capturado.
-
a absoluta, que especifica que los tiempos reales se muestran para todos los paquetes.
-
ad absolute with date, que especifica que las fechas y horas reales se muestren para todos los paquetes.
-
d delta, que especifica que las marcas de tiempo son relativas al paquete anterior.
-
e epoch, que especifica que las marcas de tiempo son segundos desde la época (1 de enero de 1970 00:00:00)
-v
La opción -v solicita a Wireshark que imprima su información de versión y salga.
-w <savefile>
Esta opción establece el nombre del savefile que se utilizará al guardar un archivo de captura.
-y <tipo de enlace de captura>
Si se inicia una captura desde la línea de comandos con -k, establece el tipo de enlace de datos a utilizar mientras se capturan los paquetes. Los valores reportados por -L son los valores que pueden ser usados.
-X <opción eXtension>
Especificar una opción para ser pasada a un módulo TShark. La opción eXtension está en la forma extensión_clave:valor, donde extensión_clave puede ser:
lua_script:lua_script_filename; Le dice a Wireshark que cargue el script dado además de los scripts Lua por defecto.
-z <cadena de estadísticas>
Hace que Wireshark recoja varios tipos de estadísticas y muestre el resultado en una ventana que se actualiza en tiempo semi-real.XXX – ¡añade más detalles aquí!
