wireshark(1)

NAMN

wireshark — interaktivt dumpa och analysera nätverkstrafik

SYNOPSIS

wireshark [ -i <fångstgränssnitt>|- ] [ -f <fångstfilter> ] [ -Y <visningsfilter> ] [ -w <utfil> ] [ alternativ ] [ <infil> ]

wireshark -h|--help

wireshark -v|--version

BESKRIVNING

Wireshark är en grafisk nätverksprotokollanalysator. Den gör det möjligt att interaktivt bläddra i paketdata från ett live-nätverk eller från en tidigare sparad fångstfil.

Wiresharks inbyggda fångstfilformat är pcapng och pcap. Programmet kan läsa och skriva båda formaten. Formatet pcap används också av tcpdump och flera andra verktyg.

Wireshark kan även läsa eller importera många andra filformat, bland annat:

• Oracle/Sun snoop och atmsnoop
• Finisar/Shomiti Surveyor
• Microsoft Network Monitor
• Novell LANalyzer
• AIX iptrace
• Cinco Networks NetXRay
• NETSCOUT / Network General Sniffer
• WildPackets/Savvius Peek-format
• Viavi Observer
• HP-UX nettl
• Cisco IDS IPLog
• pppdump-loggar
• Endace ERF-format
• Linux BlueZ hcidump -w
• Apple PacketLogger
• Citrix NetScaler Trace
• Android Logcat i binärt och textformat
• systemd-journalfiler
• MPEG-2 Transport Streams
• samt flera andra format

Det behövs inte att ange filtypen uttryckligen; Wireshark identifierar den automatiskt. Programmet kan också läsa flera av dessa format om de är komprimerade med gzip, LZ4 eller Zstandard, förutsatt att stöd för detta finns vid kompilering.

Som andra protokollanalysatorer visar Wireshark tre huvudvyer av ett paket:

• en sammanfattningsrad
• en detaljvy för protokoll och fält
• en hex-dump av paketets rådata

Wireshark har också funktioner som gör det särskilt kraftfullt. Det kan till exempel återmontera hela TCP-konversationer och visa ASCII-, EBCDIC- eller hex-data från dessa. Visningsfiltren i Wireshark är mycket kraftfulla och stöder fler filtrerbara fält än många andra analysatorer.

Paketfångst sker med pcap-biblioteket. Syntaxen för fångstfilter följer pcap-bibliotekets regler och skiljer sig från syntaxen för visningsfilter.

Sökvägen till en fångstfil som ska läsas kan anges med -r eller som ett vanligt kommandoradsargument.

ALTERNATIV

Wireshark stöder många kommandoradsalternativ. De flesta användare startar det utan flaggor och konfigurerar via menyerna i programmet.

Fångst och filhantering

-a|--autostop <villkor>

Anger när Wireshark ska sluta skriva till en fångstfil. Villkoret anges som test:värde, där test kan vara:

• duration:<sekunder>
• files:<antal>
• filesize:<kB>
• packets:<antal>

-b|--ring-buffer <villkor>

Kör Wireshark i läge med flera filer. När en fil fylls fortsätter skrivningen i nästa fil. Med files:<antal> kan detta användas som ringbuffert.

Exempel:

-b filesize:1000 -b files:5

Detta ger en ringbuffert med fem filer på en megabyte vardera.

-B|--buffer-size <MiB>

Sätter fångstbuffertens storlek i MiB. Standard är 2 MiB.

-c <antal paket>

Sätt maximalt antal paket att läsa vid livefångst.

-C <konfigurationsprofil>

Starta med angiven konfigurationsprofil.

--capture-comment <kommentar>

Lägg till en fångstkommentar i utfilen när fångst sker från kommandoraden med -k.

-D|--list-interfaces

Lista gränssnitt som Wireshark kan fånga på och avsluta.

--display <X-display>

Anger vilken X-display som ska användas. Inte tillgängligt på macOS eller Windows.

-f <fångstfilter>

Sätt uttrycket för fångstfilter.

-F <filformat>

Vid fångst från kommandoraden med -k, sätt filformat för utdatafilen som skrivs med -w.

--fullscreen

Starta Wireshark i helskärmsläge.

-g <paketnummer>

Efter inläsning av fångstfil med -r, gå till det angivna paketnumret.

-h|--help

Visa versionsnummer och alternativ och avsluta.

-H

Dölj dialogrutan med fångstinformation under livefångst.

-i|--interface <gränssnitt>|-

Ange nätverksgränssnitt eller pipe som ska användas för livefångst.

Om inget gränssnitt anges väljer Wireshark normalt första icke-loopback-gränssnittet, annars första loopback-gränssnittet.

Pipe-namn kan vara ett FIFO-namn eller - för att läsa från standard in.

-I|--monitor-mode

Sätt gränssnittet i monitorläge. Stöds endast för vissa IEEE 802.11-gränssnitt.

-j

Används efter -J för att ändra beteendet när ingen exakt träff hittas; välj då första paketet före.

-J <hoppa-filter>

Efter inläsning av en fångstfil med -r, hoppa till paketet som matchar filtret.

-k

Starta fångst direkt.

-l

Aktivera automatisk rullning när paketvisningen uppdateras medan paket kommer in.

-L|--list-data-link-types

Lista datalänktyper som stöds av gränssnittet och avsluta.

--list-time-stamp-types

Lista tidsstämpeltyper som stöds av gränssnittet.

--no-optimize

Kör inte libpcap-optimeraren vid generering av fångstfilterkod.

-o <inställning>

Sätt ett preferens- eller recent-värde som åsidosätter standardvärden och inställningsfiler.

-p|--no-promiscuous-mode

Sätt inte gränssnittet i promiscuöst läge.

-P <sökvägsinställning>

Särskilda sökvägsinställningar, till exempel:

• persconf:<sökväg>
• persdata:<sökväg>

-r|--read-file <infil>

Läs paketdata från infil. Till skillnad från TShark kan named pipes eller standard in inte användas här; använd -i - för det.

-R|--read-filter <filter>

Vid läsning av en fångstfil med -r, använd angivet läsfilter med syntax för visningsfilter.

-s|--snapshot-length <snaplen>

Sätt standard snapshot-längd för livefångst. Standardvärdet 0 betyder 262144 byte, alltså hela paketet.

-S

Uppdatera paketvisningen automatiskt när paket kommer in.

--temp-dir <katalog>

Ange katalog för temporära filer, inklusive fångstfiler.

--time-stamp-type <typ>

Byt gränssnittets tidsstämpelmetod.

--update-interval <intervall>

Ange tid i millisekunder mellan nya paketrapporter under fångst. Standard är 100 ms.

-v|--version

Visa fullständig versionsinformation och avsluta.

-w <utfil>

Ange standardnamn för fångstfilen, eller - för standardutmatning.

-X <utökningsalternativ>

Skicka alternativ till Wireshark-moduler, till exempel:

• lua_script:<fil>
• lua_script1:<argument>
• read_format:<format>
• stdin_descr:<beskrivning>

-y|--linktype <länktyp>

Om fångst startas från kommandoraden med -k, sätt datalänktyp som ska användas.

-Y|--display-filter <visningsfilter>

Starta med angivet visningsfilter.

Statistik

-z <statistik>

Låt Wireshark samla olika typer av statistik och visa resultatet i ett fönster som uppdateras nästan i realtid.

Exempel på statistikalternativ:

• -z help — visa alla möjliga värden för -z
• -z afp,srt[,filter] — svarstidsstatistik för AFP
• -z conv,type[,filter] — samtalslista för t.ex. eth, ip, ipv6, tcp, udp
• -z dcerpc,srt,name-or-uuid,major.minor[,filter]
• -z dhcp,stat[,filter]
• -z expert
• -z fc,srt[,filter]
• -z h225,counter[,filter]
• -z h225,srt[,filter]
• -z io,stat
• -z ldap,srt[,filter]
• -z megaco,srt[,filter]
• -z mgcp,srt[,filter]
• -z mtp3,msus[,filter]
• -z multicast,stat[,filter]
• -z rpc,programs
• -z rpc,srt,name-or-number,version[,filter]
• -z scsi,srt,cmdset[,filter]
• -z sip,stat[,filter]
• -z smb,srt[,filter]
• -z voip,calls
• -z wlan,stat[,filter]
• -z wsp,stat[,filter]

DISSEKERINGSALTERNATIV

-d <lagertyp>==<selektor>,<decode-as-protokoll>

Motsvarar Wiresharks funktion Decode As.... Om den angivna lagertypen, till exempel tcp.port eller udp.port, har det angivna selektorvärdet dissekeras paket som det angivna protokollet.

Exempel:

-d tcp.port==8888,http

--disable-all-protocols

Inaktivera dissekering av alla protokoll.

--disable-protocol <proto_name>[,<proto_name>,...]

Inaktivera dissekering av angivna protokoll.

--disable-heuristic <short_name>

Inaktivera heuristisk dissektor.

--enable-protocol <proto_name>[,<proto_name>,...]

Aktivera dissekering av angivna protokoll.

--enable-heuristic <short_name>

Aktivera heuristisk dissektor.

-K <keytab>

Läs Kerberos-kryptonnycklar från angiven keytab-fil.

-n

Inaktivera namnuppslagning av nätverksobjekt, till exempel värdnamn och TCP-/UDP-portnamn.

-N <flaggor>

Aktivera namnuppslagning endast för vissa typer av adresser och portnummer. Flaggorna kan vara:

• d — namnuppslagning från fångade DNS-paket
• g — IP-geolokalisering via MaxMind
• m — MAC-adressuppslagning
• n — nätverksadressuppslagning
• N — externa resolvrar, t.ex. DNS
• s — uppslagning via SNI i handshake-paket
• t — transportportuppslagning
• v — VLAN-ID till namn

--only-protocols <protokoll>

Aktivera endast dessa protokoll och inaktivera alla andra.

-t (a|ad|adoy|d|dd|e|r|rc|u|ud|udoy)[.[N]]|.[N]

Ange hur tidsstämplar visas i standardkolumnen för tid.

Värden:

• a — absolut lokal tid
• ad — absolut lokal tid med datum
• adoy — absolut lokal tid med datum som dag på året
• d — delta sedan föregående paket
• dd — delta sedan föregående visade paket
• e — epoch-tid
• r — relativ tid från första paketet
• rc — relativ tid från fångststart
• u — UTC
• ud — UTC med datum
• udoy — UTC med datum som dag på året
• .[N] — precision 0–9 decimaler

-u <s|hms>

Ange hur relativa tidsformat i -t ska visas:

• s — sekunder
• hms — timmar, minuter och sekunder

DIAGNOSTIKALTERNATIV

--log-level <nivå>

Sätt aktiv loggnivå. Stödda nivåer från lägst till högst är:

noisy, debug, info, message, warning, critical och error.

--log-fatal <nivå>

Avbryt programmet om meddelanden loggas på angiven nivå eller högre.

--log-domains <lista>

Visa endast meddelanden för angivna loggdomäner.

--log-debug <lista>

Tvinga angivna domäner att logga på nivån debug.

--log-noisy <lista>

Tvinga angivna domäner att logga på nivån noisy.

--log-fatal-domains <lista>

Avbryt programmet om meddelanden loggas från angivna loggdomäner.

--log-file <sökväg>

Skriv loggmeddelanden och stderr till angiven fil.

GRÄNSSNITT

Wireshark User’s Guide innehåller en beskrivning av användargränssnittet. Den kan finnas installerad lokalt tillsammans med Wireshark. Att trycka på F1 försöker öppna den lokala handboken och annars den nätbaserade versionen.

SYNTAX FÖR FÅNGSTFILTER

Se manualsidan för pcap-filter(7) eller, om den saknas, tcpdump(8).

SYNTAX FÖR VISNINGSFILTER

För en fullständig tabell över protokoll och protokollfält som kan filtreras i Wireshark, se manualsidan wireshark-filter(4).

FILER

Följande filer innehåller olika konfigurationsinställningar för Wireshark.

Inställningar

Filerna preferences innehåller globala och personliga preferenser. Inställningar anges en per rad i formen:

prefname:value

Exempel:

# Vertikala rullningslister till höger?
gui.scrollbar_on_right: TRUE

Recent

Filen recent innehåller personliga inställningar, främst relaterade till användargränssnittet, till exempel fönsterstorlek.

Inaktiverade och aktiverade protokoll

Filerna disabled_protos och enabled_protos styr vilka protokoll som är inaktiverade respektive aktiverade.

Heuristiska dissektorer

Filerna heuristic_protos anger vilka heuristiska dissektorer som är aktiverade eller inaktiverade.

Namnuppslagning

Wireshark använder flera typer av hjälpfiler för namnuppslagning:

• hosts — IPv4/IPv6-adresser till namn
• subnets — partiell IPv4-matchning via subnät
• ethers — EUI-48/EUI-64 till namn
• manuf — tillverkarnamn för MAC-prefix
• services — portnummer till tjänstnamn
• ipxnets — IPX-nätnummer till namn
• ss7pcs — SS7-punktkoder till namn
• vlans — VLAN-taggar till namn

Fångstfilter

Filerna cfilters innehåller systemomfattande och personliga fångstfilter.

Exempel:

"HTTP" port 80
"DCERPC" port 135

Visningsfilter

Filerna dfilters innehåller systemomfattande och personliga visningsfilter.

Exempel:

"HTTP" http
"DCERPC" dcerpc

Makron för visningsfilter

Filerna dmacros innehåller makron för visningsfilter.

Exempel:

"private_ipv6" ipv6 && $1 == fc00::/7
"private_ethernet" $1[0] & 0x0F == 2
"private_ipv4" $1 == 192.168.0.0/16 or $1 == 172.16.0.0/12 or $1 == 10.0.0.0/8

Färgfilter

Filerna colorfilters innehåller systemomfattande och personliga färgfilter.

Exempel:

@tcp@tcp@[59345,58980,65534][0,0,0]
@udp@udp@[28834,57427,65533][0,0,0]

Insticksmoduler

Wireshark letar efter plugins i både personliga och globala pluginkataloger. Lua-plugins och binära plugins lagras i olika underkataloger beroende på plattform och Wireshark-version.

MILJÖVARIABLER

WIRESHARK_CONFIG_DIR

Åsidosätter platsen för personliga konfigurationsfiler.

WIRESHARK_DEBUG_WMEM_OVERRIDE

Tvingar wmem-ramverket att använda den angivna allocator-backenden för alla allokeringar.

WIRESHARK_RUN_FROM_BUILD_DIRECTORY

Gör att plugins och andra datafiler laddas från byggkatalogen i stället för standardplatserna.

WIRESHARK_DATA_DIR

Gör att datafiler laddas från annan katalog än standard.

WIRESHARK_EXTCAP_DIR

Gör att extcap-program och skript körs från annan katalog än standard.

WIRESHARK_PLUGIN_DIR

Gör att plugins laddas från annan katalog än standard.

ERF_RECORDS_TO_CHECK

Styr hur många ERF-poster som kontrolleras när filformat ska identifieras.

IPFIX_RECORDS_TO_CHECK

Styr hur många IPFIX-poster som kontrolleras när filformat ska identifieras.

WIRESHARK_ABORT_ON_DISSECTOR_BUG

Om satt, anropar Wireshark abort(3) när ett dissektorfel upptäcks.

WIRESHARK_ABORT_ON_TOO_MANY_ITEMS

Om satt, anropar Wireshark abort(3) om en dissektor försöker lägga till för många objekt i ett träd.

WIRESHARK_QUIT_AFTER_CAPTURE

Gör att Wireshark avslutas efter att fångstsessionen avslutats. Kräver fortfarande -k samt ett autostoppvillkor.

WIRESHARK_LOG_LEVEL

Styr hur utförliga diagnostiska meddelanden till konsolen ska vara.

WIRESHARK_LOG_FATAL

Anger vilken loggnivå som ska betraktas som fatal.

WIRESHARK_LOG_DOMAINS

Väljer vilka loggdomäner som är aktiva.

WIRESHARK_LOG_DEBUG

Lista över domäner som ska logga på debug-nivå.

WIRESHARK_LOG_NOISY

Lista över domäner som ska logga på noisy-nivå.

FÖRFATTARE

Wireshark hade inte varit det kraftfulla och funktionsrika program det är utan generösa bidrag från hundratals utvecklare.

En fullständig lista över författare finns i filen AUTHORS i Wiresharks källkodsförråd.

SE ÄVEN

• wireshark-filter(4)
• tshark(1)
• editcap(1)
• pcap(3)
• dumpcap(1)
• mergecap(1)
• text2pcap(1)
• pcap-filter(7)
• tcpdump(8)

ANMÄRKNINGAR

Detta är manualsidan för Wireshark 4.7.0. Den senaste versionen av Wireshark finns på projektets webbplats.

Wiresharks användarguide finns också tillgänglig online.