tshark是wireshark安装目录下命令行工具

使用tshark可以通过自动化方式调用wireshark

tshark 

-a duration:30 抓包30秒

-w cap.cap 保存为cap.cap

-r cap.cap 读取指定报文

-f arp 抓取arp报文，捕获过滤

-R ip.addr==10.0.0.1 显示指定IP地址报文，显示过滤

tshark -n -t a -R ssl -T fields -e "ip.src" -e "ssl.app_data"

显示ssl data数据

tshark -a duration:10 -V -T text 直接显示报文头部解析内容

tshark -r temp.cap -R "ssl" -V -T text 读取指定报文,按照ssl过滤显示内容

tshark -r temp.cap -z "follow,tcp,ascii,13" -q 过滤tcp流13，获取data内容

-z "follow,tcp,ascii,10.0.0.1:80,10.0.0.2:12335"

tshark -r temp.cap -R ssl -Tfields -e "ip.src" -e tcp.srcport -e ip.dst -e tcp.dstport 按照指定格式显示