Linux网络抓包利器（手把手教你用 tshark 命令分析网络流量）

什么是 tshark？

tshark 是 Wireshark 项目的一部分，它允许你在终端中捕获和分析网络数据包。与图形界面的 Wireshark 不同，tshark 更适合脚本自动化、远程调试和资源受限的环境。

安装 tshark

在大多数 Linux 发行版中，tshark 可以通过包管理器轻松安装：

Ubuntu / Debian 系统：

sudo apt updatesudo apt install tshark

CentOS / RHEL / Fedora 系统：

sudo yum install wireshark# 或者在较新的 Fedora 中使用：sudo dnf install wireshark

基本使用方法

最简单的用法是直接运行 tshark 命令来监听默认网卡上的所有流量：

tshark

但通常你会指定某个网络接口，比如 eth0 或 wlan0：

tshark -i eth0

按 Ctrl + C 可以停止抓包。

常用选项详解

• -i 接口名：指定监听的网络接口。
• -c 数量：只抓取指定数量的数据包后自动退出。
• -f "过滤表达式"：使用 BPF（Berkeley Packet Filter）语法进行抓包过滤。
• -Y "显示过滤器"：使用 Wireshark 的显示过滤语法筛选输出结果。
• -w 文件名.pcap：将抓到的数据包保存为 pcap 文件，供后续分析。
• -r 文件名.pcap：读取已保存的 pcap 文件进行分析。

示例 1：只抓 10 个 HTTP 数据包

tshark -i eth0 -c 10 -Y "http"

示例 2：抓取目标端口为 80 的 TCP 流量并保存到文件

tshark -i eth0 -f "tcp port 80" -w http_traffic.pcap

示例 3：分析已保存的 pcap 文件，只显示 DNS 请求

tshark -r http_traffic.pcap -Y "dns"

实用技巧

1. 实时监控特定 IP 的通信

tshark -i eth0 -Y "ip.addr == 192.168.1.100"

2. 查看某端口的连接情况（如 SSH）

tshark -i eth0 -f "tcp port 22"

3. 导出为 JSON 格式用于程序处理

tshark -i eth0 -c 5 -T json

权限问题

默认情况下，tshark 需要 root 权限才能抓包。你可以通过以下方式避免每次使用 sudo：

sudo usermod -aG wireshark $USER# 然后注销并重新登录，或者重启系统

总结

tshark 是 Linux 网络抓包和流量分析的利器，尤其适合运维人员、安全工程师和开发人员使用。掌握 tshark命令、Linux网络抓包、网络流量分析 和 Wireshark命令行 技能，能极大提升你排查网络问题的效率。

建议多动手实践，结合实际场景（如排查慢请求、检测异常连接等）来加深理解。祝你抓包顺利！