Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析

提取Wireshark协议解析器，编译tshark，linux或安卓上使用tshark解析数据流输出定制内容。 本人几年前所写~zjl

wireshark3.2.14，编译好的软件可在linux系统里直接解压使用。

wireshark的tshark

术语港 受Wireshark启发的tshark终端用户界面。 V2.2现在带有vim键，数据包标记，命令行和主题！ 请参阅 。 如果您要在具有较大pcap的远程计算机上进行调试，而又不想将其重新发送回桌面，termshark可以为您提供帮助！ 产品特点 读取pcap文件或嗅探实时接口（允许使用tshark） 使用Wireshark的显示过滤器过滤pcap或实时捕获 重新组装并检查TCP和UDP流 按协议查看网络对话 将数据包范围从终端复制到剪贴板 以Golang语言编写，可在每个平台上编译为单个可执行文件-适用于Linux，macOS，BSD变体，Android（termux）和Windows的下载 tshark具有termhark尚未公开的更多功能！ 请参阅。 安装套件 termhark已针对以下平台进行了预打包： ， ， ， ， ， ， ， 和 。 建造 termhark使用Go模块，因此最好使用Go 1.12或更高版本进行编译。 设置GO111MODULE=on然后运行： go get github.com/gcla/termshark/v2/cmd/ter

由于要做码流处理，最近把功能强大开源的wireshark当成了“捷径”，想从其中摘取解析引擎部分。这就开始了全部源码的编译、分析过程。大概用了两周，基本捋清了它的运行机制。但到摘取代码的时候发现，难度好大，源文件众多，条件编译众多，依赖库众多。。。现将2周分析源码的“成果”贴出来（更多的是想与同样分析wireshark的网友一起探讨，经验分享），有不恰当及错误的地方，欢迎各位大神指正，如果能帮助到其他人则是更好，现以流程图方式展现。注意：  此流程图是在指定抓取固定包数的模式下进行的（因为其源码条件抓包分为文件及包数的方式）。命令格式如：./tshark -c 200 并且，流程图中未详尽列出从Frame到应用层协议（HTTP）解析的层层调用关系，这一步可以在相关应用层协议的解析器函数打上断点（例如HTTP：b dissect_tcp_http），gdb模式下直接bt，看栈信息即可。