9.2. Porniți Wireshark din linia de comandă

-a <capture autostop condition>

Precizați un criteriu care specifică momentul în care Wireshark trebuie să oprească scrierea într-un fișier de captură. Criteriul este de forma test:valoare, unde test este unul dintre următoarele:

-b <capture ring buffer option>

Dacă a fost specificată o dimensiune maximă a fișierului de captură, această opțiune face ca Wireshark să ruleze în modul „ring buffer”, cu numărul specificat de fișiere. În modul „ringbuffer”, Wireshark va scrie în mai multe fișiere de captură. Numele acestora se bazează pe numărul fișierului și pe data și ora de creare.

Când primul fișier de captură se umple, Wireshark va trece la scrierea în următorul fișier, până când va umple ultimul fișier, moment în care va arunca datele din primul fișier (cu excepția cazului în care se specifică 0, caz în care numărul de fișiere este nelimitat) și va începe să scrie în acel fișier și așa mai departe.

Dacă este specificată durata opțională, Wireshark va trece, de asemenea, la următorul fișier atunci când a trecut numărul de secunde specificat, chiar dacă fișierul curent nu este complet umplut.

-B <capture buffer size (numai Win32)>

Numai Win32: setați dimensiunea bufferului de captură (în MB, valoarea implicită este 1MB). Aceasta este utilizată de driverul de captură pentru a stoca în buffer datele pachetelor până când aceste date pot fi scrise pe disc. Dacă întâmpinați căderi de pachete în timpul capturii, încercați să măriți această dimensiune.

-c <capture packet count>

Această opțiune specifică numărul maxim de pachete de capturat atunci când se capturează date live. Ar fi utilizată împreună cu opțiunea -k.

-D

Imprimă o listă a interfețelor pe care Wireshark le poate captura și iese. Pentru fiecare interfață de rețea, se tipărește un număr și un nume de interfață, eventual urmat de o descriere text a interfeței. Numele interfeței sau numărul pot fi furnizate la indicatorul -i pentru a specifica o interfață pe care să se facă captura.

Acest lucru poate fi util pe sistemele care nu au o comandă care să le listeze (de exemplu, sistemele Windows sau sistemele UNIX cărora le lipsește ifconfig -a);numărul poate fi util pe sistemele Windows 2000 și mai recente, unde numeleinterfeței este un șir de caractere oarecum complex.

Rețineți că „poate captura” înseamnă că Wireshark a putut să deschidă acel dispozitiv pentru a face o captură în direct; dacă, pe sistemul dumneavoastră, un program care face o captură de rețea trebuie să fie rulat dintr-un cont cu privilegii speciale (de exemplu, ca root), atunci, dacă Wireshark este rulat cu indicatorul -D și nu este rulat dintr-un astfel de cont, nu va lista nici o interfață.

-f <filtru de captură>

Această opțiune stabilește expresia inițială a filtrului de captură care va fi utilizată la capturarea pachetelor.

-g <numărul pachetului>

După citirea unui fișier de captură cu ajutorul indicatorului -r, mergeți la numărul de pachete dat.

-h

Opțiunea -h îi cere lui Wireshark să tipărească versiunea sa și instrucțiunile de utilizare (așa cum se arată mai sus) și să iasă.

-i <interfață de captură>

Setați numele interfeței de rețea sau al țevii de utilizat pentru captarea live a pachetelor.

Numele interfeței de rețea ar trebui să se potrivească cu unul dintre numele listate înwireshark -D (descris mai sus); se poate folosi, de asemenea, un număr, așa cum este raportat dewireshark -D. Dacă folosiți UNIX, netstat-i sau ifconfig -a ar putea funcționa, de asemenea, pentru a lista numele interfețelor,deși nu toate versiunile de UNIX acceptă indicatorul -a pentru ifconfig.

Dacă nu este specificată nici o interfață, Wireshark caută în lista de interfețe, alegând prima interfață non-loopback dacă există interfețe non-loopback, și alegând prima interfață loopback dacă nu există interfețe non-loopback; dacă nu există interfețe, Wireshark raportează o eroare și nu începe captura.

Numele pipe-urilor trebuie să fie fie numele unui FIFO (pipe numit) sau „-” pentru a citi date de la intrarea standard. Datele citite de pe țevi trebuie să fie în format instandard libpcap.

-k

Opțiunea -k specifică faptul că Wireshark trebuie să înceapă imediat capturarea pachetelor. Această opțiune necesită utilizarea parametrului -i pentru a specifica interfața din care va avea loc capturarea pachetelor.

-l

Această opțiune activează derularea automată în cazul în care panoul cu lista de pachete este actualizat automat pe măsură ce pachetele sosesc în timpul unei capturi ( așa cum se specifică prin indicatorul -S).

-L

Enumerați tipurile de legături de date suportate de interfață și ieșiți.

-m <font>

Această opțiune setează numele fontului utilizat pentru majoritatea textelor afișate de Wireshark. XXX – adăugați un exemplu!

-n

Dezactivează rezoluția numelor obiectelor de rețea (cum ar fi numele de gazdă, numele TCP și UDPport).

-N <name resolving flags>

Activează rezoluția numelor pentru anumite tipuri de adrese și numere de port; argumentul este un șir de caractere care poate conține literele m pentru a activa rezoluția adreselor MAC, n pentru a activa rezoluția adreselor de rețea și t pentru a activa rezoluția numerelor de port din stratul de transport. Aceasta înlocuiește -n dacă atât -N cât și -n sunt prezente. Litera C permite căutări DNS simultane (asincrone).

-o <configurări preferințe/recente>

Setează o valoare de preferință sau recentă, înlocuind valoarea implicită și orice valoare citită dintr-un fișier de preferințe/recente. Argumentul pentru steguleț este un șir de caractere de forma prefname:valoare, unde prefname este numele preferinței (care este același nume care ar apărea în fișierul de preferințe/recente), iar valoarea este valoarea la care ar trebui să fie setată. Se pot da mai multe instanțe de -o <preference settings> pe o singură linie de comandă.

Un exemplu de setare a unei singure preferințe ar fi:

wireshark -o mgcp.display_dissect_tree:TRUE

Un exemplu de setare a mai multor preferințe ar fi:

:

wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627

Tabelele de acces al utilizatorului pot fi înlocuite folosind „uat”, urmat de numele fișierului UAT și de o înregistrare validă pentru fișier:

wireshark -o „uat:user_dlts:\”User 0 (DLT=147)\”,\”http\”,\”0\”,\”0\”,\”\”,\”0\”,\”0\”,\”\”””

Exemplul de mai sus ar diseca pachetele cu un tip de legătură de date libpcap 147 ca HTTP, la fel ca și cum l-ați fi configurat în preferințele protocolului DLT_USER.

-p

Nu puneți interfața în modul promiscuu. Rețineți că interfața ar putea fi în modul promiscuu dintr-un alt motiv; prin urmare, -p nu poate fi utilizat pentru a vă asigura că singurul trafic care este capturat este traficul trimis către sau de la mașina pe care rulează Wireshark, traficul de difuzare și traficul multicast la adresele primite de acea mașină.

-P <setare traseu>

Setări speciale de traseu detectate de obicei automat. Aceasta este utilizatăpentru cazuri speciale, de exemplu, pornirea Wireshark dintr-o locație cunoscută de pe un stick USB.

Criteriul este de forma cheie:cale, unde cheia este una dintre:

-Q

Această opțiune forțează Wireshark să iasă atunci când captura este completă. Poate fi utilizată împreună cu opțiunea -c. Trebuie utilizată împreună cu opțiunile -i și -w.

-r <infile>

Această opțiune furnizează numele unui fișier de captură pentru ca Wireshark să-l citească și să-l afișeze. Acest fișier de captură poate fi într-unul dintre formatele pe care Wireshark le înțelege. -R <read (display) filter>

Această opțiune specifică un filtru de afișare care trebuie aplicat la citirea pachetelor dintr-un fișier de captură. Sintaxa acestui filtru este cea a filtrelor de afișare discutate în Secțiunea 6.3, „Filtrarea pachetelor în timpul vizualizării”. Pachetele care nu corespund filtrului sunt eliminate.

-s <capture snaplen>

Această opțiune specifică lungimea instantaneului care trebuie utilizată la capturarea pachetelor. Wireshark va captura doar <snaplen> octeți de date pentru fiecare pachet.

-S

Această opțiune specifică faptul că Wireshark va afișa pachetele pe măsură ce le capturează. Acest lucru se face prin capturarea într-un proces și afișarea lor într-un proces separat. Această opțiune este aceeași cu „Update list of packets in real time” (Actualizare listă de pachete în timp real) din caseta de dialog Capture Options (Opțiuni de captură). -t <format marcaj orar>

Această opțiune stabilește formatul marcajelor orare ale pachetelor care sunt afișate în fereastra cu lista pachetelor. Formatul poate fi unul dintre următoarele:

-v

Opțiunea -v solicită ca Wireshark să tipărească informațiile despre versiunea sa și să iasă.

-w <savefile>

Această opțiune stabilește numele fișierului de salvare care va fi utilizat la salvarea unui fișier de captură.

-y <capture link type>

Dacă o captură este inițiată din linia de comandă cu -k, setați tipul de legătură de date care trebuie utilizat în timpul capturării pachetelor. Valorile raportate de -Lsunt valorile care pot fi utilizate.

-X <opțiune de extensie>

Specificați o opțiune care să fie transmisă unui modul TShark. Opțiunea eXtension este de forma extensie_cheie:valoare, unde extensie_cheie poate fi:

lua_script:lua_script_filename; Îi spune lui Wireshark să încarce scriptul dat în plus față de scripturile Lua implicite.

-z <statistics-string>

Dă-i voie lui Wireshark să colecteze diverse tipuri de statistici și să afișeze rezultatul într-o fereastră care se actualizează în timp semi-real.XXX – adăugați mai multe detalii aici!