抓包工具tshark使用备忘

抓包命令行工具tshark可以用于自定制，相比GUI工具可以实现一些自动化，譬如把某些关注的数据抓起下来存放到文本中，然后再分析输出。

demo：

std::string decodeHex(const std::string& strHex)

{

    int nLen = strHex.length() / ;

    std::string strRet(nLen, );

    for (int i = ; i != nLen; ++i)

    {

        strRet[i] = ((strHex[*i]>='a') ? (strHex[*i]-'a'+) : (strHex[*i]-'')) * ;

        strRet[i] += (strHex[*i+]>='a') ? (strHex[*i+]-'a'+) : (strHex[*i+]-'');

    }

    return strRet;

}

void cswuyg_test_tshark()

{

    std::wstring strParam =  L"\"C:\\Program Files\\Wireshark\\tshark.exe\" -i 1 -p -l -T pdml -f \"dst port 80\" -R \"ip.addr==172.17.195.56\"";

    FILE* stream = NULL;

    errno_t err = _wfreopen_s(&stream, L"c:\\temp\\cswuyt_test.xml", L"w", stdout);

    if (err != )

    {

        std::cout << "error" << std::endl;

    }

    HANDLE hStd = ::GetStdHandle(STD_OUTPUT_HANDLE);

    //BOOL bSet = ::SetHandleInformation(hStd, HANDLE_FLAG_INHERIT, HANDLE_FLAG_INHERIT);

    STARTUPINFO stStartInfo;

    ZeroMemory(&stStartInfo, sizeof(STARTUPINFO));

    stStartInfo.cb = sizeof(STARTUPINFO);

    stStartInfo.hStdError = hStd;

    stStartInfo.hStdOutput = hStd;

    PROCESS_INFORMATION stProcInfo;

    ZeroMemory(&stProcInfo, sizeof(PROCESS_INFORMATION));

    BOOL bSuccess = ::CreateProcess(NULL, const_cast<wchar_t*>(strParam.c_str()), NULL, NULL, TRUE, , NULL, NULL, &stStartInfo, &stProcInfo);

    ::CloseHandle(stProcInfo.hProcess);

    ::CloseHandle(stProcInfo.hThread);

    ::fclose(stream);

}

　　上边的demo为抓取跟ip地址为172.17.195.56，端口为80（http默认端口）的机器的通信，tshark会提供包解析之后的xml数据，程序将其存储到文件。注意部分数据是需要由hex字符串转换为真实字符串的，另外还可能会有需要gzip解压。

tshark资料：

http://www.wireshark.org/docs/man-pages/tshark.html

http://blog.sina.com.cn/s/blog_5919b8b10100064e.html

巴特西

抓包工具tshark使用备忘

最新文章

热门文章