-a <capture autostop condition>
Especifique um critério que especifica quando o Wireshark deve parar de escrever para um arquivo de captura. O critério é do formulário test:value, onde testis one of:
Stop writing to a capture file after value of seconds have decorrido.
filesize:value
Stop writing to a capture file after it reaches a size of valuekilobytes (where a kilobyte is 1000 bytes, not 1024 bytes). Se esta opção for usada junto com a opção -b, o Wireshark willstop escreve no arquivo de captura atual e muda para o próximo se o tamanho do arquivo for alcançado.
files:value
Stop escreve para capturar arquivos depois que o número de arquivos foi escrito.
-b <capture ring buffer opção>
Se um tamanho máximo de arquivo de captura foi especificado, esta opção faz com que o Wireshark execute o modo “ring buffer”, com o número de arquivos especificado. No modo “ringbuffer”, o Wireshark irá escrever em vários arquivos de captura. O seu nome é baseado no número do arquivo e na data e hora de criação.
Quando o primeiro ficheiro de captura é preenchido, o Wireshark passa a escrever para o ficheiro seguinte, até que preencha o último ficheiro, onde irá descartar os dados do primeiro ficheiro (a não ser que seja especificado 0, caso em que o número de ficheiros é ilimitado) e começar a escrever para o ficheiro seguinte e assim por diante.
Se a duração opcional for especificada, o Wireshark também mudará para o próximo arquivo quando o número de segundos especificado tiver passado, mesmo que o arquivo atual não esteja completamente preenchido.
Switch to the next file after value seconds have been passeded, evenif the current file is not completely filled up.
tamanho:valor
Switch to the next file after it reaches a size of value kilobytes(where a kilobyte is 1000 bytes, not 1024 bytes).
files:value
Begin novamente com o primeiro arquivo após o número do valor de arquivos escritos (formar um buffer de anel).
-B < tamanho do buffer de captura (somente Win32)>
somente Win32: defina o tamanho do buffer de captura (em MB, o padrão é 1MB). Isto é usado pelo driver de captura para guardar os dados do pacote até que esses dados possam ser gravados no disco. Se você encontrar quedas de pacotes durante a captura, tente aumentar esse tamanho.
-c <capture packet count>
Esta opção especifica o número máximo de pacotes a serem capturados durante a captura de dados ao vivo. Ela seria usada em conjunto com a opção -k.
-D
Imprimir uma lista das interfaces em que o Wireshark pode capturar, e sair. Para cada interface de rede, é impresso um número e um nome de interface, possivelmente seguido por uma descrição de texto da interface. O nome da interface ou o número pode ser fornecido ao sinalizador -i para especificar uma interface sobre a qual capturar.
Isso pode ser útil em sistemas que não têm um comando para listá-los (por exemplo, sistemas Windows, ou sistemas UNIX sem ifconfig -a); o número pode ser útil no Windows 2000 e em sistemas posteriores, onde o nome da interface é uma string um tanto complexa.
Nota que “pode capturar” significa que Wireshark foi capaz de abrir aquele dispositivo para fazer uma captura ao vivo; se, em seu sistema, um programa fazendo uma captura de rede deve ser executado a partir de uma conta com privilégios especiais (forexample, como root), então, se Wireshark é executado com a bandeira -D e não é executado a partir de tal conta, ele não irá listar nenhuma interface.
-f <capture filter>
Esta opção define a expressão inicial do filtro de captura a ser usada quando da captura de pacotes.
-g < número do pacote>
Após ler em um arquivo de captura usando a flag -r, vá para o número do pacote dado.
-h
A opção -h pede ao Wireshark para imprimir sua versão e instruções de uso (como mostrado acima) e sair.
-i <capture interface>
Definir o nome da interface de rede ou pipe a ser usado para o packetcapture live.
Nomes da interface de rede devem corresponder a um dos nomes listados emwireshark -D (descrito acima); um número, como relatado porwireshark -D, também pode ser usado. Se você estiver usando UNIX, netstat-i ou ifconfig -a também pode funcionar para listar nomes de interface, embora nem todas as versões do UNIX suportam a flag -a para ifconfig.
Se nenhuma interface for especificada, Wireshark pesquisa a lista de interfaces, escolhendo a primeira interface sem loopback se houver interfaces sem loopback, e escolhendo a primeira interface loopback se não houver interfaces sem loopback; se não houver interfaces,Wireshark relata um erro e não inicia a captura.
Nomes de pipe devem ser ou o nome de um FIFO (chamado pipe) ou “-” rasgar os dados da entrada padrão. Os dados lidos dos pipes devem ser no formato libpcap instandard.
-k
A opção -k especifica que Wireshark deve começar a capturar os pacotes imediatamente. Esta opção requer o uso do parâmetro -i para especificar a interface a partir da qual a captura de pacotes ocorrerá.
-l
Esta opção ativa a rolagem automática se o painel lista de pacotes estiver sendo atualizado automaticamente conforme os pacotes chegam durante uma captura (conforme especificado pelo sinalizador -S).
-L
Listar os tipos de link de dados suportados pela interface e sair.
-m <font>
Esta opção define o nome da fonte usada para a maioria dos textos exibidos pelo Wireshark. XXX – adicione um exemplo!
-n
Disable network object name resolution (such as hostname, TCP and UDPport names).
-N <name resolving flags>
Activa a resolução de nomes para tipos particulares de endereços e números de portas; o argumento é uma string que pode conter as letras m para activar a resolução de endereços MAC, n para activar a resolução de endereços de rede, e t para activar a resolução de números de portas na camada de transporte. Isto anula -n se ambos -N e -n estiverem presentes. A letra C habilita pesquisas de DNS simultâneas (assíncronas).
-o < configurações de referência/recentração>
Define uma preferência ou valor recente, substituindo o valor padrão e qualquer valor lido de um arquivo de preferência/recentração. O argumento para a bandeira é uma string da forma prefname:value, onde prefname é o nome da preferência (que é o mesmo nome que apareceria no arquivo de preferência/recidente), e value é o valor para o qual ele deve ser definido. Múltiplas instâncias de -o <preference settings> podem ser dadas em uma única linha de comando.
Um exemplo de configuração de uma única preferência seria:
wireshark -o mgcp.display_dissect_tree:TRUE
Um exemplo de configuração de preferências múltiplas seria:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627
Você pode obter uma lista de todas as cadeias de preferências disponíveis no arquivo de preferências, veja o Apêndice A, Arquivos e Pastas.
As tabelas de acesso do utilizador podem ser substituídas usando “uat”, seguido pelo nome do ficheiro UAT e um registo válido para o ficheiro:
wireshark -o “uat:user_dlts:\”User 0 (DLT=147)\”,\”http\”,\”0\”,\”0\”,\”0\”,\”\”,\”
O exemplo acima dissecaria pacotes com um link de dados libpcap tipo 147 como HTTP, como se você o tivesse configurado nas preferências do protocolo DLT_USER.
-p
Não coloque a interface em modo promíscuo. Note que a interface pode estar em modo promíscuo por alguma outra razão; portanto, -p não pode ser usado para garantir que o único tráfego que é capturado é o tráfego enviado para ou da máquina na qual o Wireshark está rodando, tráfego broadcast e tráfego multicast para endereços recebidos por aquela máquina.
-P <Configuração do caminho>
Configuração de caminhos especiais normalmente detectados automaticamente. Isto é usado para casos especiais, por exemplo, iniciar o Wireshark a partir de um local conhecido numa pen USB.
O critério é da forma chave:path, onde a chave é uma de:
caminho dos ficheiros de configuração pessoal, como os ficheiros de preferências.
persdata:path
caminho dos ficheiros de dados pessoais, é a pasta inicialmente aberta.Após a initilização, o ficheiro recente irá manter a pasta utilizada por último.
-Q
Esta opção obriga a Wireshark a sair quando a captura estiver completa. Ela pode ser usada com a opção -c. Deve ser usado em conjunto com as opções -i e -w.
-r <infile>
Esta opção fornece o nome de um arquivo de captura para que o Wireshark leia e exiba. Este arquivo de captura pode estar em um dos formatos que a Wireshark entende.
-R <filtro de leitura (display)>
Esta opção especifica um filtro de display a ser aplicado ao ler pacotes de um arquivo de captura. A sintaxe deste filtro é a dos filtros do display discutidos na Seção 6.3, “Filtragem de pacotes durante a visualização”. Pacotes que não correspondem ao filtro são descartados.
-s <capture snaplen>
Esta opção especifica o comprimento do snapshot a ser usado na captura de pacotes. Wireshark irá capturar apenas <snaplen> bytes de dados para cada pacote.
-S
Esta opção especifica que o Wireshark irá exibir os pacotes à medida que os capturar. Isto é feito capturando em um processo e exibindo-os em um processo separado. Isto é o mesmo que “Atualizar lista de pacotes em tempo real” na caixa de diálogo Opções de Captura.
-t < formato do carimbo de tempo>
Esta opção define o formato dos carimbos de tempo dos pacotes que são exibidos na janela da lista de pacotes. O formato pode ser um dos seguintes:
-
r relativo, que especifica que os carimbos de data e hora são exibidos em relação ao primeiro pacote capturado.
-
um absoluto, que especifica que os tempos reais são mostrados para todos os pacotes.
-
ad absoluto com data, que especifica que as datas e horas reais sejam exibidas para todos os pacotes.
-
d delta, o que especifica que os timestamps são relativos ao pacote anterior.
-
e epoch, que especifica que os timestamps são segundos desde a época (1 de janeiro de 1970 00:00:00)
-v
A opção -v solicita que a Wireshark imprima suas informações de versão e saia.
-w <savefile>
Esta opção define o nome do arquivo de gravação a ser usado ao salvar um arquivo de captura.
-y <capture link type>
Se uma captura for iniciada a partir da linha de comando com -k, defina o tipo de datalink a ser usado durante a captura de pacotes. Os valores reportados por -Lare os valores que podem ser usados.
-X <eXtension option>
Especifique uma opção a ser passada para um módulo TShark. A opção eXtension está na forma extension_key:value, onde extension_key pode ser:
lua_script:lua_script_filename; Diz ao Wireshark para carregar o script dado, além dos scripts Lua padrão.
-z <statistics-string>
Pede ao Wireshark para recolher vários tipos de estatísticas e mostrar o resultado numa janela que actualiza em tempo semi-real.XXX – adicione mais detalhes aqui!
