9.2. Démarrez Wireshark à partir de la ligne de commande

-a <capture autostop condition>

Spécifiez un critère qui précise quand Wireshark doit arrêter d’écrire dans un fichier de capture. Le critère est de la forme test:valeur, où tesest l’un des éléments suivants:

-b <capture ring buffer option>

Si une taille maximale de fichier de capture a été spécifiée, cette option entraîne l’exécution de Wireshark en mode « ring buffer », avec le nombre de fichiers spécifié. En mode « ringbuffer », Wireshark écrira dans plusieurs fichiers de capture. Leur nom est basé sur le numéro du fichier et sur la date et l’heure de création.

Lorsque le premier fichier de capture se remplit, Wireshark passera à l’écriture dans le fichier suivant, jusqu’à ce qu’il remplisse le dernier fichier, auquel cas il abandonnera les données du premier fichier (sauf si 0 est spécifié, auquel cas le nombre de fichiers est illimité) et commencera à écrire dans ce fichier et ainsi de suite.

Si la durée optionnelle est spécifiée, Wireshark passera également au fichier suivant lorsque le nombre de secondes spécifié se sera écoulé, même si le fichier actuel n’est pas complètement rempli.

-B <taille du tampon de capture (Win32 uniquement)>

Win32 uniquement : définissez la taille du tampon de capture (en Mo, par défaut 1 Mo). Ceci est utilisé par le pilote de capture pour mettre en mémoire tampon les données de paquets jusqu’à ce que ces données puissent être écrites sur le disque. Si vous rencontrez des chutes de paquets pendant la capture, essayez d’augmenter cette taille.

-c <capture packet count>

Cette option spécifie le nombre maximum de paquets à capturer lors de la capture de données en direct. Elle serait utilisée en conjonction avec l’option -k.

-D

Imprime une liste des interfaces sur lesquelles Wireshark peut capturer, et sortir. Pour chaque interface réseau, un numéro et un nom d’interface, éventuellement suivi d’une description textuelle de l’interface, sont imprimés. Le nom de l’interface ou le numéro peut être fourni à l’indicateur -i pour spécifier une interface sur laquelle effectuer la capture.

Cela peut être utile sur les systèmes qui n’ont pas de commande pour les lister (par exemple, les systèmes Windows, ou les systèmes UNIX dépourvus de ifconfig -a);le nombre peut être utile sur les systèmes Windows 2000 et ultérieurs, où le nom de l’interface est une chaîne un peu complexe.

Notez que « peut capturer » signifie que Wireshark a pu ouvrir ce périphérique pour effectuer une capture en direct ; si, sur votre système, un programme effectuant une capture réseau doit être exécuté à partir d’un compte avec des privilèges spéciaux (forexample, en tant que root), alors, si Wireshark est exécuté avec le drapeau -D et n’est pas exécuté à partir d’un tel compte, il ne listera aucune interface.

-f <filtre de capture>

Cette option définit l’expression initiale du filtre de capture à utiliser lors de la capture des paquets.

-g <numéro de paquet>

Après avoir lu dans un fichier de capture en utilisant l’indicateur -r, allez au numéro de paquet donné.

-h

L’option -h demande à Wireshark d’imprimer sa version et ses instructions d’utilisation (comme indiqué ci-dessus) et de quitter.

-i <capture interface>

Définir le nom de l’interface réseau ou du tuyau à utiliser pour la capture de paquets en direct.

Les noms des interfaces réseau doivent correspondre à l’un des noms listés danswireshark -D (décrit ci-dessus) ; un numéro, tel que rapporté parwireshark -D, peut également être utilisé. Si vous utilisez UNIX, netstat-i ou ifconfig -a pourraient également fonctionner pour lister les noms d’interface,bien que toutes les versions d’UNIX ne prennent pas en charge l’indicateur -a d’ifconfig.

Si aucune interface n’est spécifiée, Wireshark recherche la liste des interfaces, en choisissant la première interface non bouclée s’il y a des interfaces non bouclées, et en choisissant la première interface bouclée s’il n’y a pas d’interfaces non bouclées ; s’il n’y a pas d’interfaces, Wireshark signale une erreur et ne commence pas la capture.

Les noms de tuyaux doivent être soit le nom d’une FIFO (tuyau nommé), soit « – » pour lire des données à partir de l’entrée standard. Les données lues depuis les pipes doivent être au format instandard libpcap.

-k

L’option -k spécifie que Wireshark doit commencer à capturer les paquets immédiatement. Cette option nécessite l’utilisation du paramètre -i pour spécifier l’interface à partir de laquelle la capture de paquets aura lieu.

-l

Cette option active le défilement automatique si le volet de la liste des paquets est mis à jour automatiquement au fur et à mesure que les paquets arrivent pendant une capture ( comme spécifié par l’indicateur -S).

-L

Lister les types de liaison de données pris en charge par l’interface et quitter.

-m <font>

Cette option définit le nom de la police utilisée pour la plupart des textes affichés par Wireshark. XXX – ajoutez un exemple !

-n

Désactiver la résolution de nom d’objet réseau (comme le nom d’hôte, les noms de port TCP et UDP).

-N <name resolving flags>

Active la résolution de nom pour des types particuliers d’adresses et de numéros de port ; l’argument est une chaîne qui peut contenir les lettres m pour activer la résolution d’adresse MAC, n pour activer la résolution d’adresse réseau et t pour activer la résolution de numéro de port de couche de transport. Cette option est prioritaire sur -n si les deux options -N et -n sont présentes. La lettre C active les recherches DNS simultanées (asynchrones).

-o <référence/récents paramètres>

Définit une préférence ou une valeur récente, en remplaçant la valeur par défaut et toute valeur lue à partir d’un fichier de préférence/récents. L’argument de l’indicateur est une chaîne de la forme prefname:value, où prefname est le nom de la préférence (qui est le même nom que celui qui apparaîtrait dans le fichier de préférences/récents), et value est la valeur à laquelle elle doit être définie. Plusieurs instances de -o <configuration des préférences> peuvent être données sur une seule ligne de commande.

Un exemple de définition d’une seule préférence serait :

wireshark -o mgcp.display_dissect_tree:TRUE

Un exemple de définition de plusieurs préférences serait :

wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627

Les tables d’accès utilisateur peuvent être remplacées en utilisant « uat », suivi du nom du fichier UAT et d’un enregistrement valide pour le fichier :

wireshark -o « uat:user_dlts:\ »Utilisateur 0 (DLT=147)\ »,\ »http\ »,\ »0\ »,\ »\ »,\ »0\ »,\ »\ » »

L’exemple ci-dessus disséquerait les paquets avec un type de liaison de données libpcap 147 comme HTTP, tout comme si vous l’aviez configuré dans les préférences du protocole DLT_USER.

-p

Ne pas mettre l’interface en mode promiscuous. Notez que l’interface pourrait être en mode promiscuous pour une autre raison ; par conséquent, -p ne peut pas être utilisé pour s’assurer que le seul trafic capturé est le trafic envoyé vers ou depuis la machine sur laquelle Wireshark s’exécute, le trafic de diffusion et le trafic de multidiffusion vers les adresses reçues par cette machine.

-P <paramètre de chemin>

Paramètre de chemin spécial habituellement détecté automatiquement. Ceci est utilisé pour des cas particuliers, par exemple le démarrage de Wireshark à partir d’un emplacement connu surune clé USB.

Le critère est de la forme key:path, où key est l’un de :

-Q

Cette option force Wireshark à sortir lorsque la capture est terminée. Elle peut être utilisée avec l’option -c. Elle doit être utilisée conjointement avec les options -i et -w.

-r <infile>

Cette option fournit le nom d’un fichier de capture que Wireshark doit lire et afficher. Ce fichier de capture peut être dans l’un des formats que Wireshark comprend.

-R <read (display) filter>

Cette option spécifie un filtre d’affichage à appliquer lors de la lecture des paquets d’un fichier de capture. La syntaxe de ce filtre est celle des filtres d’affichage discutés dans la Section 6.3,  » Filtrer les paquets pendant la visualisation « . Les paquets ne correspondant pas au filtre sont rejetés.

-s <capture snaplen>

Cette option spécifie la longueur d’instantané à utiliser lors de la capture de paquets. Wireshark ne capturera que <snaplen> octets de données pour chaque paquet.

-S

Cette option spécifie que Wireshark affichera les paquets à mesure qu’il les capture. Cela se fait en capturant dans un processus et en les affichant dans un processus séparé. C’est la même chose que « Mettre à jour la liste des paquets en temps réel » dans la boîte de dialogue Options de capture.

-t <format d’horodatage>

Cette option définit le format des horodatages des paquets qui sont affichés dans la fenêtre de la liste des paquets. Le format peut être l’un des suivants :

-v

L’option -v demande à Wireshark d’imprimer ses informations de version et de sortir.

-w <savefile>

Cette option définit le nom du fichier de sauvegarde à utiliser lors de l’enregistrement d’un fichier de capture.

-y <capture link type>

Si une capture est lancée depuis la ligne de commande avec -k, définissez le type de liaison de données à utiliser lors de la capture des paquets. Les valeurs signalées par -Lsont les valeurs qui peuvent être utilisées.

-X <eXtension option>

Spécifie une option à passer à un module TShark. L’option eXtension est sous la forme extension_key:valeur, où extension_key peut être :

lua_script:lua_script_filename ; Indique à Wireshark de charger le script donné en plus des scripts Lua par défaut.

-z <statistics-string>

Donne à Wireshark la possibilité de collecter divers types de statistiques et d’afficher le résultat dans une fenêtre qui se met à jour en temps semi-réel.XXX – ajoutez plus de détails ici!