-a <capture autostop condition>
Specifica un criterio che specifica quando Wireshark deve smettere di scrivere su un file di cattura. Il criterio è della forma test:value, dove test è uno dei seguenti:
Ferma la scrittura di un file di cattura dopo che è trascorso un valore di secondi.
filesize:value
Ferma la scrittura di un file di cattura dopo che ha raggiunto una dimensione di valuekilobytes (dove un kilobyte è 1000 bytes, non 1024 bytes). Se questa opzione è usata insieme all’opzione -b, Wireshark smetterà di scrivere sul file di cattura corrente e passerà al successivo se viene raggiunta la dimensione del file.
files:value
Smetti di scrivere sui file di cattura dopo che è stato scritto il numero di file value.
-b <capture ring buffer option>
Se è stata specificata una dimensione massima del file di cattura, questa opzione fa sì che Wireshark venga eseguito in modalità “ring buffer”, con il numero di file specificato. In modalità “ringbuffer”, Wireshark scriverà su diversi file di cattura. Il loro nome è basato sul numero del file e sulla data e ora di creazione.
Quando il primo file di cattura si riempie, Wireshark passa a scrivere sul file successivo, fino a riempire l’ultimo file, a quel punto scarterà i dati del primo file (a meno che non sia specificato 0, nel qual caso il numero di file è illimitato) e inizierà a scrivere su quel file e così via.
Se viene specificata la durata opzionale, Wireshark passerà anche al file successivo quando sarà trascorso il numero di secondi specificato, anche se il file corrente non è completamente pieno.
Passa al file successivo dopo che sono trascorsi secondi di valore, anche se il file corrente non è completamente pieno.
filesize:valore
Passa al file successivo dopo che ha raggiunto una dimensione di kilobyte di valore (dove un kilobyte è 1000 byte, non 1024 byte).
files:value
Ricomincia dal primo file dopo che un numero di file di valore è stato scritto (forma un ring buffer).
-B <dimensione buffer di cattura (solo Win32)>
Solo Win32: imposta la dimensione del buffer di cattura (in MB, il valore predefinito è 1MB). Questo è usato dal driver di cattura per bufferizzare i dati dei pacchetti fino a quando i dati possono essere scritti su disco. Se si verificano cadute di pacchetti durante la cattura, provare ad aumentare questa dimensione.
-c <capture packet count>
Questa opzione specifica il numero massimo di pacchetti da catturare durante la cattura di dati live. Dovrebbe essere usata insieme all’opzione -k.
-D
Stampa una lista delle interfacce su cui Wireshark può catturare ed esce. Per ogni interfaccia di rete, viene stampato un numero e un nome di interfaccia, eventualmente seguito da una descrizione testuale dell’interfaccia. Il nome dell’interfaccia o il numero può essere fornito alla bandiera -i per specificare un’interfaccia su cui catturare.
Questo può essere utile su sistemi che non hanno un comando per elencarli (ad esempio, sistemi Windows, o sistemi UNIX che non hanno ifconfig -a); il numero può essere utile su sistemi Windows 2000 e successivi, dove il nome dell’interfaccia è una stringa piuttosto complessa.
Nota che “può catturare” significa che Wireshark è stato in grado di aprire quel dispositivo per fare una cattura dal vivo; se, sul tuo sistema, un programma che fa una cattura della rete deve essere eseguito da un account con privilegi speciali (per esempio, come root), allora, se Wireshark viene eseguito con il flag -D e non viene eseguito da un tale account, non elencherà nessuna interfaccia.
-f <capture filter>
Questa opzione imposta l’espressione del filtro di cattura iniziale da usare quando si catturano i pacchetti.
-g <numero pacchetto>
Dopo aver letto un file di cattura usando la flag -r, passa al numero di pacchetto indicato.
-h
L’opzione -h richiede a Wireshark di stampare la sua versione e le istruzioni d’uso (come mostrato sopra) e di uscire.
-i <capture interface>
Imposta il nome dell’interfaccia di rete o della pipe da usare per il packetcapture live.
I nomi delle interfacce di rete dovrebbero corrispondere a uno dei nomi elencati inwireshark -D (descritto sopra); può essere usato anche un numero, come riportato dawireshark -D. Se stai usando UNIX, netstat-i o ifconfig -a potrebbero anche funzionare per elencare i nomi delle interfacce, sebbene non tutte le versioni di UNIX supportino il flag -a di ifconfig.
Se non viene specificata alcuna interfaccia, Wireshark cerca nella lista delle interfacce, scegliendo la prima interfaccia non loopback se ci sono interfacce non loopback, e scegliendo la prima interfaccia loopback se non ci sono interfacce non loopback; se non ci sono interfacce, Wireshark riporta un errore e non inizia la cattura.
I nomi delle pipe dovrebbero essere o il nome di un FIFO (named pipe) o “-” per leggere dati dallo standard input. I dati letti dalle pipe devono essere nel formato libpcap standard.
-k
L’opzione -k specifica che Wireshark dovrebbe iniziare a catturare i pacchetti immediatamente. Questa opzione richiede l’uso del parametro -i per specificare l’interfaccia da cui avverrà la cattura dei pacchetti.
-l
Questa opzione attiva lo scorrimento automatico se il riquadro dell’elenco dei pacchetti viene aggiornato automaticamente all’arrivo dei pacchetti durante una cattura (come specificato dal flag -S).
-L
Elenca i tipi di collegamento dati supportati dall’interfaccia ed esce.
-m <font>
Questa opzione imposta il nome del font utilizzato per la maggior parte del testo visualizzato da Wireshark. XXX – aggiungi un esempio!
-n
Disabilita la risoluzione dei nomi degli oggetti di rete (come hostname, nomi TCP e UDPport).
-N <name resolving flags>
Attiva la risoluzione dei nomi per particolari tipi di indirizzi e numeri di porta; l’argomento è una stringa che può contenere le lettere m per abilitare la risoluzione degli indirizzi MAC, n per abilitare la risoluzione degli indirizzi di rete e t per abilitare la risoluzione dei numeri di porta del transport-layer. Questo prevale su -n se sono presenti sia -N che -n. La lettera C abilita le ricerche DNS simultanee (asincrone).
-o <preferenze/impostazioni recenti>
Imposta una preferenza o un valore recente, sovrascrivendo il valore predefinito e qualsiasi valore letto da un file di preferenze/recenti. L’argomento del flag è una stringa della forma prefname:value, dove prefname è il nome della preferenza (che è lo stesso nome che apparirebbe nel file delle preferenze/recenti), e value è il valore a cui dovrebbe essere impostato. Più istanze di -o <impostazioni di preferenza> possono essere date su una singola linea di comando.
Un esempio di impostazione di una singola preferenza sarebbe:
wireshark -o mgcp.display_dissect_tree:TRUE
Un esempio di impostazione di più preferenze sarebbe:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627
Puoi ottenere una lista di tutte le stringhe di preferenze disponibili dal filepreferences, vedi Appendice A, File e cartelle.
Le tabelle di accesso utente possono essere sovrascritte usando “uat”, seguito dal nome del file UAT e da un record valido per il file:
wireshark -o “uat:user_dlts:\”Utente 0 (DLT=147)\”,\”http\”,\”0\”,\”0\”,\”\””
L’esempio sopra disseziona i pacchetti con un tipo di collegamento dati libpcap 147 come HTTP, proprio come se lo aveste configurato nelle preferenze del protocollo DLT_USER.
-p
Non mettere l’interfaccia in modalità promiscua. Nota che l’interfaccia potrebbe essere in modalità promiscua per qualche altra ragione; quindi, -p non può essere usato per assicurarsi che l’unico traffico catturato sia il traffico inviato a o dalla macchina su cui Wireshark è in esecuzione, il traffico broadcast e il traffico multicast agli indirizzi ricevuti da quella macchina.
-P <impostazione del percorso>
Impostazioni speciali del percorso solitamente rilevate automaticamente. Questo è usato per casi speciali, ad esempio per avviare Wireshark da una posizione nota su una chiavetta USB.
Il criterio è della forma key:path, dove key è uno dei seguenti:
path dei file di configurazione personali, come i file delle preferenze.
persdata:path
percorso dei file di dati personali, è la cartella inizialmente aperta.Dopo l’inizializzazione, il file recente manterrà l’ultima cartella utilizzata.
-Q
Questa opzione forza Wireshark a uscire quando la cattura è completa. Può essere usata con l’opzione -c. Deve essere usata insieme alle opzioni -i e -w.
-r <infile>
Questa opzione fornisce il nome di un file di cattura che Wireshark deve leggere e visualizzare. Questo file di cattura può essere in uno dei formati compresi da Wireshark.
-R <read (display) filter>
Questa opzione specifica un filtro di visualizzazione da applicare durante la lettura dei pacchetti da un file di cattura. La sintassi di questo filtro è quella dei filtri di visualizzazione discussi in Sezione 6.3, “Filtrare i pacchetti durante la visualizzazione”. I pacchetti che non corrispondono al filtro vengono scartati.
-s <capture snaplen>
Questa opzione specifica la lunghezza dell’istantanea da utilizzare quando si catturano i pacchetti. Wireshark catturerà solo <snaplen> byte di dati per ogni pacchetto.
-S
Questa opzione specifica che Wireshark visualizzerà i pacchetti mentre li cattura. Questo viene fatto catturando in un processo e visualizzandoli in un processo separato. Questo è lo stesso di “Aggiorna la lista dei pacchetti in tempo reale” nella finestra di dialogo Opzioni di cattura.
-t <time stamp format>
Questa opzione imposta il formato dei timestamp dei pacchetti che vengono visualizzati nella finestra dell’elenco dei pacchetti. Il formato può essere uno dei seguenti:
-
r relativo, che specifica che i timestamp sono visualizzati rispetto al primo pacchetto catturato.
-
a assoluto, che specifica che i tempi effettivi sono visualizzati per tutti i pacchetti.
-
ad absolute with date, che specifica che le date e gli orari effettivi sono visualizzati per tutti i pacchetti.
-
d delta, che specifica che i timestamp sono relativi al pacchetto precedente.
-
e epoch, che specifica che i timestamp sono secondi dall’epoca (1 gennaio 1970 00:00:00)
-v
L’opzione -v richiede a Wireshark di stampare le informazioni sulla sua versione e di uscire.
-w <savefile>
Questa opzione imposta il nome del savefile da usare quando si salva un file di cattura.
-y <capture link type>
Se una cattura è avviata dalla linea di comando con -k, imposta il tipo di collegamento dati da utilizzare durante la cattura dei pacchetti. I valori riportati da -L sono quelli che possono essere utilizzati.
-X <opzione eXtension>
Specifica un’opzione da passare a un modulo TShark. L’opzione eXtension è nella forma extension_key:value, dove extension_key può essere:
lua_script:lua_script_filename; Dice a Wireshark di caricare lo script dato in aggiunta agli script Lua di default.
-z <statistics-string>
Fa sì che Wireshark raccolga vari tipi di statistiche e ne mostri il risultato in una finestra che si aggiorna in tempo semi-reale.