Tshark抓websocket包

例子

tshark -i 3 -Y "websocket" -a duration:60 -T pdml >E est.xml

-Y: -Y <display filter>,使用读取过滤器的语法，在单次分析中可以代替-R选项;

-i: -i <interface> 指定捕获接口，默认是第一个非本地循环接口;可以先用"tshark -D" 查看对应的网卡对应的值

-a: -a <autostop cond.> ... duration:NUM，在num秒之后停止捕获;
　　　　　　　　　　　　　　　　filesize:NUM，在numKB之后停止捕获;
　　　　　　　　　　　　　　　　files:NUM，在捕获num个文件之后停止捕获;

-T: -T pdml|ps|text|fields|psml,设置解码结果输出的格式，包括text,ps,psml和pdml，默认为text


.bat

set FILTERSTR="(src 192.168.1.165 and dst 192.168.1.120) or (src 192.168.1.120 and dst 192.168.1.165)"
set DURATIONTIME=60
set OUTPUT=ss.xml
c:
cd C:Program FilesWireshark
echo %cd%
Tshark -i 3 -Y "websocket" -f %FILTERSTR% -a duration:%DURATIONTIME% -T pdml > %OUTPUT%
endlocal