rawshark(1) – Linux manualsida

NAMN

rawshark – dumpa och analysera rå pcap-data

SYNOPSIS

rawshark [ -d <encap:linktype>|<proto:protoname> ] [ -F <fält att visa> ] [ -l ]
         [ -m <byte> ] [ -o <inställning> ] ... [ -p ]
         [ -r <pipe>|- ] [ -R <läs-/visningsfilter> ] [ -s ]
         [ -S <fältformat> ] [ alternativ ]

rawshark -h|--help

rawshark -v|--version

BESKRIVNING

Rawshark läser en ström av paket från en fil eller pipe och skriver en rad som beskriver utdata, följt av en uppsättning matchande fält för varje paket på standardutmatningen.

INDATA

Till skillnad från TShark gör Rawshark inga antaganden om inkapsling eller indata. Flaggorna -d och -r måste anges för att programmet ska kunna köras. En eller flera -F-flaggor bör anges för att utdata ska bli användbar. Övriga flaggor följer samma konventioner som i Wireshark och TShark.

Som standard förväntar sig Rawshark indataposter med följande format. Detta motsvarar formatet för pakethuvud och paketdata i en pcap-formaterad fil på disk.

struct rawshark_rec_s {
    uint32_t ts_sec;      /* Tidsstämpel (sekunder) */
    uint32_t ts_usec;     /* Tidsstämpel (mikrosekunder) */
    uint32_t caplen;      /* Längd på paketbufferten */
    uint32_t len;         /* Paketets längd "på tråden" */
    uint8_t data[caplen]; /* Paketdata */
};

Om -p anges förväntar sig rawshark följande format. Detta motsvarar strukturen struct pcap_pkthdr och paketdata som används i libpcap eller Npcap. Strukturens format är plattformsberoende. Storleken på fältet tv_sec i strukturen struct timeval kan vara 32 eller 64 bitar. För att rawshark ska fungera måste strukturens layout i indatan matcha layouten för strukturen i rawshark.

Observera att detta format troligen är samma som föregående format om rawshark är ett 32-bitarsprogram, men inte nödvändigtvis är samma om rawshark är ett 64-bitarsprogram.

struct rawshark_rec_s {
    struct timeval ts;    /* Tidsstämpel */
    uint32_t caplen;      /* Längd på paketbufferten */
    uint32_t len;         /* Paketets längd "på tråden" */
    uint8_t data[caplen]; /* Paketdata */
};

I båda fallen måste endianess, det vill säga byteordningen för varje heltal, matcha systemet där rawshark körs.

UTDATA

Om ett eller flera fält anges med flaggan -F skriver Rawshark ut nummer, fälttyp och visningsformat för varje fält på första raden som paketnummer 0. För varje post skrivs paketnummer, matchande fält samt en 1 eller 0 ut för att ange om fältet matchade något angivet visningsfilter. Ett - används för att markera slutet på en fältbeskrivning och slutet på varje paketrad.

Exempelvis kan flaggorna -F ip.src -F dns.qry.type generera följande utdata:

0 FT_IPv4 BASE_NONE - 1 FT_UINT16 BASE_HEX -
1 1="1" 0="192.168.77.10" 1 -
2 1="1" 0="192.168.77.250" 1 -
3 0="192.168.77.10" 1 -
4 0="74.125.19.104" 1 -

Observera att paket 1 och 2 är DNS-frågor, medan 3 och 4 inte är det.

Om -R "not dns" läggs till skrivs fortfarande varje rad ut, men det finns en markering som visar att paket 1 och 2 inte passerade filtret:

0 FT_IPv4 BASE_NONE - 1 FT_UINT16 BASE_HEX -
1 1="1" 0="192.168.77.10" 0 -
2 1="1" 0="192.168.77.250" 0 -
3 0="192.168.77.10" 1 -
4 0="74.125.19.104" 1 -

Observera också att utdata kan komma i valfri ordning och att flera matchande fält kan visas.

ALTERNATIV

-d <inkapsling>

Anger hur paketdata ska dissekeras. Inkapslingen har formen typ:värde, där typ är en av följande:

'encap:<namn>

Paketdata ska dissekeras med libpcap/Npcap-datalänktypen, DLT, namn. Exempel: encap:EN10MB för Ethernet. Namn konverteras med pcap_datalink_name_to_val(). En fullständig lista över DLT:er finns på https://www.tcpdump.org/linktypes.html.

'encap:<nummer>

Paketdata ska dissekeras med libpcap/Npcap LINKTYPE_-nummer. Exempel: encap:105 för rå IEEE 802.11 eller encap:101 för rå IP.

'proto:<protokoll>

Paketdata ska skickas till angiven Wireshark-protokolldissektor. Exempel: proto:http för HTTP-data.

-F <fält att visa>

Lägg till det matchande fältet i utdata. Fält kan vara vilket giltigt visningsfilterfält som helst. Mer än en -F-flagga kan anges, och varje fält kan matcha flera gånger i ett paket. Ett enda fält kan anges per -F-flagga. Använd flaggan -R om du vill tillämpa ett visningsfilter.

-h eller --help

Skriv ut versionsnummer och alternativ och avsluta.

-l

Töm standardutmatningen efter att informationen för varje paket har skrivits ut.

Detta är inte strikt radbuffrat om -V har angetts, men motsvarar radbuffring om -V inte har angetts, eftersom endast en rad skrivs ut per paket. Eftersom -l normalt används när en livefångst skickas via pipe till ett program eller skript, så att utdata för ett paket visas så snart paketet har setts och dissekerats, bör det fungera lika bra som verklig radbuffring.

Detta görs som en lösning på en brist i Microsoft Visual C++ C-biblioteket.

Alternativet kan vara användbart när utdata från TShark skickas via pipe till ett annat program, eftersom programmet som tar emot utdata får dissekerad paketdata så snart TShark ser paketet och genererar utdata, i stället för först när standardutmatningens buffert fylls.

-m <minnesgräns i byte>

Begränsa rawsharks minnesanvändning till angivet antal byte. Endast POSIX-system, inte Windows.

-o <inställning>:<värde>

Sätt ett inställningsvärde och åsidosätt standardvärdet samt eventuella värden som lästs från en inställningsfil. Argumentet har formen prefname:value, där prefname är namnet på inställningen och value är värdet som ska användas.

-p

Anta att paketdata föregås av en pcap_pkthdr-struktur enligt definitionen i pcap.h. På vissa system skiljer sig storleken på tidsstämpeldata från data som skrivs till disk. På andra system är de identiska och flaggan har ingen effekt.

-r <pipe>|-

Läs paketdata från indatakällan. Detta kan vara namnet på en FIFO, det vill säga en namngiven pipe, eller - för att läsa från standardindata. Indatan måste ha postformatet som anges ovan.

Om du skickar data till rawshark från en överordnad process i Windows bör du inte stänga rawsharks standardindatahandtag för tidigt, annars kan C-runtime-miljön utlösa ett undantag.

-R eller --read-filter <läs-/visningsfilter>

Gör att angivet filter tillämpas innan utdata skrivs ut. Filtret använder syntaxen för läs-/visningsfilter, inte syntaxen för fångstfilter. Läsfilter och visningsfilter är synonyma i rawshark.

-s

Gör att vanliga pcap-filer kan användas som indata genom att hoppa över det 24 byte långa pcap-filhuvudet.

-S <formatsträng>

Använd angiven formatsträng för att skriva ut varje fält. Följande format stöds:

%D

Fältnamn eller beskrivning, till exempel "Type" för dns.qry.type.

%N

Fältets numeriska värde i bas 10.

%S

Fältets strängvärde.

För något som liknar Wiresharks standardvisning, exempelvis Type: A (1), kan du använda:

%D: %S (%N)

-v eller --version

Skriv ut fullständig versionsinformation och avsluta.

-Y eller --display-filter <läs-/visningsfilter>

Gör att angivet filter tillämpas innan utdata skrivs ut. Filtret använder syntaxen för läs-/visningsfilter, inte syntaxen för fångstfilter. Läsfilter och visningsfilter är synonyma i rawshark.

DISSEKERINGSALTERNATIV

--disable-all-protocols

Inaktivera dissekering av alla protokoll.

--disable-protocol <proto_name>[,<proto_name>,...]

Inaktivera dissekering av proto_name. Använd ALL som proto_name för att åsidosätta den valda profilens lista över aktiverade standardprotokoll och tillfälligt inaktivera alla protokoll.

--disable-heuristic <short_name>

Inaktivera dissekering av ett heuristiskt protokoll.

--enable-protocol <proto_name>[,<proto_name>,...]

Aktivera dissekering av proto_name. Använd ALL som proto_name för att åsidosätta den valda profilens lista över inaktiverade standardprotokoll och tillfälligt aktivera alla protokoll som är aktiverade som standard.

Om ett protokoll förekommer i både --disable-protocol och --enable-protocol aktiveras protokollet. Detta gör att du tillfälligt kan inaktivera alla protokoll utom en lista med undantag.

Exempel:

--disable-protocol ALL --enable-protocol eth,ip

--enable-heuristic <short_name>

Aktivera dissekering av ett heuristiskt protokoll.

-K <keytab>

Läs in Kerberos-kryptoncklar från angiven keytab-fil. Alternativet kan användas flera gånger för att läsa in nycklar från flera filer.

Exempel:

-K krb5.keytab

-n

Inaktivera namnuppslagning av nätverksobjekt, till exempel värdnamn samt TCP- och UDP-portnamn. Alternativet -N kan åsidosätta detta.

-N <namnuppslagningsflaggor>

Aktivera namnuppslagning endast för vissa typer av adresser och portnummer, medan namnuppslagning för andra typer stängs av.

Detta alternativ, tillsammans med -n, kan anges flera gånger. Det senast angivna värdet åsidosätter tidigare värden. Alternativen -N och -n åsidosätter inställningar från preferenserna, inklusive preferenser satta med -o.

Om varken -N eller -n anges används värden från preferenserna, som som standard motsvarar -N dmN.

Argumentet är en sträng som kan innehålla följande bokstäver:

• d – aktivera namnuppslagning från fångade DNS-paket.
• g – aktivera uppslagning av IP-adressers geolokaliseringsinformation från konfigurerade MaxMind-databaser.
• m – aktivera MAC-adressuppslagning.
• n – aktivera nätverksadressuppslagning.
• N – aktivera externa uppslagare, till exempel DNS, för nätverksadressuppslagning. Har ingen effekt om inte n också är aktiverat.
• s – aktivera adressuppslagning med SNI-information från fångade handshake-paket.
• t – aktivera uppslagning av portnummer på transportlagret.
• v – aktivera uppslagning av VLAN-ID:n till namn.

--only-protocols <protokoll>

Aktivera endast dissekering av dessa protokoll, separerade med kommatecken. Allt annat inaktiveras.

-t (a|ad|adoy|d|dd|e|r|rc|u|ud|udoy)[.[N]]|.[N]

Sätt formatet för paketets tidsstämpel som visas i standardtidskolumnen. Formatet kan vara ett av följande:

a

Absolut tid. Den absoluta tiden, som lokal tid i din tidszon, är den faktiska tiden då paketet fångades, utan datum.

ad

Absolut tid med datum. Det absoluta datumet visas som YYYY-MM-DD och tiden som lokal tid i din tidszon.

adoy

Absolut tid med datum som dag på året. Datumet visas som YYYY/DOY och tiden som lokal tid i din tidszon.

d

Delta. Tiden sedan föregående paket fångades.

dd

Delta för visade paket. Tiden sedan föregående visade paket fångades.

e

Epoch. Tiden i sekunder sedan epoken, 1 januari 1970 00:00:00.

r

Relativ tid. Tiden som gått mellan första paketet och aktuellt paket.

rc

Relativ till fångststart. Tiden som gått mellan fångstens start och aktuellt paket.

u

UTC. Den absoluta tiden som UTC med suffixet Z, utan datum.

ud

UTC med datum. Datumet visas som YYYY-MM-DD och tiden som UTC med suffixet Z.

udoy

UTC med datum som dag på året. Datumet visas som YYYY/DOY och tiden som UTC med suffixet Z.

.[N]

Sätt precisionen. N är antalet decimaler, från 0 till 9. Om . används utan N avgörs precisionen automatiskt från spåret.

Standardformatet är relativ tid med precision baserad på fångstformatet.

-u <s|hms>

Anger hur pakettidsstämpelformat i -t som är relativa tider, det vill säga relativ, delta och delta_displayed, visas.

Giltiga val är:

• s – sekunder.
• hms – timmar, minuter och sekunder.

Standardformatet är sekunder.

DIAGNOSTIKALTERNATIV

--log-level <nivå>

Sätt aktiv loggnivå. Stödda nivåer från lägst till högst är noisy, debug, info, message, warning, critical och error.

Meddelanden på angiven nivå och högre skrivs ut. Exempel: warning skriver ut warning, critical och error. noisy skriver ut alla meddelanden. Nivåerna är inte skiftlägeskänsliga.

--log-fatal <nivå>

Avbryt programmet om något meddelande loggas på angiven nivå eller högre. Exempel: warning avbryter vid warning, critical eller error.

--log-domains <lista>

Skriv endast ut meddelanden för angivna loggdomäner, exempelvis GUI,Epan,sshdump. Listan måste vara kommaseparerad. Den kan negeras med ! som första tecken, vilket inverterar matchningen.

--log-debug <lista>

Tvinga angivna domäner att logga på nivån debug. Listan måste vara kommaseparerad. Den kan negeras med ! som första tecken.

--log-noisy <lista>

Tvinga angivna domäner att logga på nivån noisy. Listan måste vara kommaseparerad. Den kan negeras med ! som första tecken.

--log-fatal-domains <lista>

Avbryt programmet om något meddelande loggas för angivna loggdomäner. Listan måste vara kommaseparerad.

--log-file <sökväg>

Skriv loggmeddelanden och stderr-utdata till angiven fil.

SYNTAX FÖR LÄSFILTER

En fullständig tabell över protokoll och protokollfält som kan filtreras i Rawshark finns i manualsidan wireshark-filter(4).

FILER

Dessa filer innehåller olika konfigurationsinställningar för Wireshark.

Inställningar

Filerna preferences innehåller globala, systemomfattande, och personliga inställningar. Om den systemomfattande inställningsfilen finns läses den först och åsidosätter standardinställningarna. Om den personliga inställningsfilen finns läses den därefter och åsidosätter tidigare värden.

Observera att om kommandoradsflaggan -o används, eventuellt flera gånger, åsidosätter den i sin tur värden från inställningsfilerna.

Inställningarna har formen:

prefname:value

En inställning anges per rad. prefname är namnet på inställningen och value är värdet den ska sättas till. Blanktecken tillåts mellan : och value. En inställning kan fortsätta på följande rader om fortsättningsraderna inleds med blanktecken. Tecknet # startar en kommentar som fortsätter till radens slut.

Exempel:

# Vertical scrollbars should be on right side?
# TRUE or FALSE (case-insensitive).
gui.scrollbar_on_right: TRUE

Den globala inställningsfilen söks i katalogen wireshark under underkatalogen share i huvudinstallationskatalogen.

Typiska platser:

• macOS: /Application/Wireshark.app/Contents/Resources/share
• Linux, BSD, Solaris och AIX med systempaket: /usr/share/wireshark/preferences
• Lokalt installerade paket: /usr/local/share/wireshark/preferences
• Windows: C:\Program Files\Wireshark\preferences

På UNIX-kompatibla system söks den personliga inställningsfilen i:

$XDG_CONFIG_HOME/wireshark/preferences

eller, om $XDG_CONFIG_HOME/wireshark inte finns men $HOME/.wireshark finns:

$HOME/.wireshark/preferences

Detta är vanligtvis:

$HOME/.config/wireshark/preferences

På Windows söks den personliga inställningsfilen i:

%APPDATA%\Wireshark\preferences

eller, om %APPDATA% inte är definierad:

%USERPROFILE%\Application Data\Wireshark\preferences

Inaktiverade och aktiverade protokoll

Filerna disabled_protos innehåller systemomfattande och personliga listor över protokoll som har inaktiverats så att deras dissektorer aldrig anropas. Filerna innehåller protokollnamn, ett per rad, där protokollnamnet är samma namn som skulle användas i ett visningsfilter för protokollet.

Exempel:

http
tcp     # en kommentar

Om ett protokoll listas i den globala filen disabled_protos kan det inte aktiveras av användaren.

Den globala filen disabled_protos använder samma katalog som den globala inställningsfilen. Den personliga filen disabled_protos använder samma katalog som den personliga inställningsfilen.

Filerna disabled_protos listar endast protokoll som är aktiverade som standard men som har inaktiverats. Protokoll som är inaktiverade som standard, till exempel vissa efterdissektorer, listas inte. Det finns motsvarande filer, enabled_protos, för protokoll som är inaktiverade som standard men som har aktiverats.

Heuristiska dissektorer

Filerna heuristic_protos innehåller systemomfattande och personliga listor över heuristiska dissektorer och anger om de är aktiverade eller inaktiverade. Filerna innehåller heuristiska dissektorers unika kortnamn, ett per rad, följt av ett komma och 0 för inaktiverad eller 1 för aktiverad.

Exempel:

quic,1
rtcp_stun,1
rtcp_udp,1
rtp_stun,0
rtp_udp,0
tls_tcp,1

Den globala filen heuristic_protos använder samma katalog som den globala inställningsfilen. Den personliga filen heuristic_protos använder samma katalog som den personliga inställningsfilen.

Namnuppslagning: hosts

Poster i hosts-filer i den globala och personliga inställningskatalogen används för att översätta IPv4- och IPv6-adresser innan andra uppslagningsförsök görs. Filen har standardformatet för hosts-filer. Varje rad innehåller en IP-adress och ett namn, separerade med blanktecken.

Den personliga hosts-filen, om den finns, åsidosätter den globala filen.

Namnuppslagning för fångstfilter hanteras av libpcap på UNIX-kompatibla system, såsom Linux, macOS, BSD, Solaris och AIX, och av Npcap på Windows. Därför används inte Wiresharks personliga hosts-fil för namnuppslagning i fångstfilter.

Namnuppslagning: subnets

Om en IPv4-adress inte kan översättas via namnuppslagning, det vill säga om ingen exakt matchning hittas, görs ett försök med partiell matchning via filen subnets. Både den globala och den personliga subnets-filen används om de finns.

Varje rad består av en IPv4-adress, en nätmasklängd separerad endast med /, samt ett namn separerat med blanktecken. Adressen måste vara en fullständig IPv4-adress, men värden bortom masklängden ignoreras.

Exempel:

# Kommentarer måste inledas med #
192.168.0.0/24 ws_test_network

Ett delvis matchat namn skrivs ut som:

subnet-name.remaining-address

Exempelvis skulle 192.168.0.1 under subnätet ovan skrivas ut som:

ws_test_network.1

Om masklängden i stället hade varit 16 skulle adressen skrivas ut som:

ws_test_network.0.1

Namnuppslagning: ethers

Filerna ethers används för att koppla 6-byte EUI-48- och 8-byte EUI-64-maskinvaruadresser till namn. Först provas den personliga ethers-filen. Om adressen inte hittas där provas den globala ethers-filen.

Filen har ett format som liknar det som definieras av ethers(5) på vissa UNIX-liknande system. Varje rad innehåller en maskinvaruadress och ett namn, separerade med blanktecken, tabbar eller mellanslag.

De hexadecimala siffrorna i maskinvaruadressen separeras med kolon, bindestreck eller punkter. Samma separator måste användas konsekvent inom en adress. Ett # anger en kommentar som fortsätter till radens slut.

Både 6-byte MAC-adresser och 8-byte EUI-64-adresser stöds.

Följande fyra rader är giltiga i en ethers-fil:

ff:ff:ff:ff:ff:ff          Broadcast
c0-00-ff-ff-ff-ff          TR_broadcast
00.00.00.00.00.00          Zero_broadcast
00:00:00:00:00:00:00:00    EUI64_zero_broadcast

Observera att detta accepterar fler format än den ethers(5)-fil som definieras på de flesta UNIX-system.

Den globala ethers-filen söks i /etc på UNIX-kompatibla system och i huvudinstallationskatalogen på Windows, exempelvis:

C:\Program Files\Wireshark

Den personliga ethers-filen söks i samma katalog som den personliga inställningsfilen.

Namnuppslagning för fångstfilter hanteras av libpcap på UNIX-kompatibla system och Npcap på Windows. Därför används inte Wiresharks personliga ethers-fil för namnuppslagning i fångstfilter.

Namnuppslagning: manuf

Filen manuf används för att matcha leverantörsdelen på 3 byte i en 6-byte maskinvaruadress mot tillverkarens namn. Den kan även innehålla välkända MAC-adresser och adressintervall angivna med nätmask.

Filformatet liknar ethers-filerna, förutom att poster som följande kan anges:

00:00:0C      Cisco     Cisco Systems, Inc

Där anges en 3-byte OUI samt både ett förkortat och ett långt namn för en leverantör.

Poster som följande kan också anges:

00-00-0C-07-AC/40     All-HSRP-routers

Detta anger en MAC-adress och en mask som anger hur många bitar av adressen som måste matcha. Posten ovan har exempelvis 40 signifikanta bitar, eller 5 byte, och matchar adresser från:

00-00-0C-07-AC-00

till:

00-00-0C-07-AC-FF

Masken behöver inte vara en multipel av 8.

En global manuf-fil söks i samma katalog som den globala inställningsfilen. En personlig manuf-fil söks i samma katalog som den personliga inställningsfilen.

I tidigare versioner av Wireshark distribuerades officiell information från IEEE Registration Authority i detta format som den globala manuf-filen. Denna information är nu inbyggd för att snabba upp programstarten, men den interna informationen kan skrivas ut i detta format med:

tshark -G manuf

Utöver manuf-filen söks även en annan fil med samma format, wka, i den globala katalogen. Denna fil distribueras med Wireshark och innehåller data om välkända MAC-adresser och adressintervall insamlade från olika icke-IEEE-källor som anses tillförlitliga.

Namnuppslagning: services

Filen services används för att översätta portnummer till namn. Både den globala och den personliga services-filen används om de finns.

Filen har standardsyntaxen för services-filer. Varje rad innehåller ett servicenamn och en transportidentifierare, separerade med blanktecken. Transportidentifieraren innehåller ett portnummer och ett transportprotokollnamn, normalt tcp, udp eller sctp, separerade med /.

Exempel:

mydns       5045/udp     # Min egen Domain Name Server
mydns       5045/tcp     # Min egen Domain Name Server

I tidigare versioner av Wireshark distribuerades officiell information från IANA-registret i detta format som den globala services-filen. Denna information är nu inbyggd för att snabba upp programstarten, men den interna informationen kan skrivas ut i detta format med:

tshark -G services

Namnuppslagning: ipxnets

Filerna ipxnets används för att koppla 4-byte IPX-nätverksnummer till namn. Först provas den globala ipxnets-filen. Om adressen inte hittas där provas den personliga filen.

Formatet är samma som för ethers-filen, förutom att varje adress är fyra byte i stället för sex. Dessutom kan adressen representeras som ett enda hexadecimalt tal, vilket är vanligare i IPX-världen, i stället för fyra hexoktetter.

Följande fyra rader är giltiga i en ipxnets-fil:

C0.A8.2C.00              HR
c0-a8-1c-00              CEO
00:00:BE:EF              IT_Server1
110f                     FileServer3

Den globala ipxnets-filen söks i /etc på UNIX-kompatibla system såsom Linux, macOS, BSD, Solaris och AIX, och i huvudinstallationskatalogen på Windows, exempelvis:

C:\Program Files\Wireshark

Den personliga ipxnets-filen söks i samma katalog som den personliga inställningsfilen.

Namnuppslagning: ss7pcs

Filen ss7pcs används för att översätta SS7 point codes till namn. Den läses från den personliga konfigurationskatalogen.

Varje rad i filen består av en nätverksindikator följd av ett bindestreck, följt av en point code i decimalform och ett nodnamn separerat med blanktecken.

Exempel:

2-1234 MyPointCode1

Namnuppslagning: vlans

Filen vlans används för att översätta VLAN-tagg-ID:n till namn. Den läses från den personliga konfigurationskatalogen.

Varje rad i filen består av ett VLAN-tagg-ID separerat med blanktecken från ett namn.

Exempel:

123    Server-Lan
2049   HR-Client-LAN

Färgfilter och färgregler

Filerna colorfilters innehåller systemomfattande och personliga färgfilter. Varje rad innehåller ett filter, med början i strängen som visas i dialogrutan, följt av motsvarande visningsfilter. Därefter läggs bakgrunds- och förgrundsfärger till.

Exempel:

# en kommentar
@tcp@tcp@[59345,58980,65534][0,0,0]
@udp@udp@[28834,57427,65533][0,0,0]

Den globala colorfilters-filen använder samma katalog som den globala inställningsfilen.

Den personliga colorfilters-filen använder samma katalog som den personliga inställningsfilen. Den skrivs via dialogrutan View:Coloring Rules.

Om den globala colorfilters-filen finns används den endast om den personliga colorfilters-filen inte finns. Globala och personliga färgfilter slås inte samman.

Insticksmoduler

Wireshark söker efter insticksmoduler både i en personlig instickskatalog och i en global instickskatalog.

På UNIX-kompatibla system, såsom Linux, macOS, BSD, Solaris och AIX, är den globala instickskatalogen:

lib/wireshark/plugins/

under huvudinstallationskatalogen. På vissa system används lib64 i stället för lib. Exempel:

/usr/local/lib/wireshark/plugins/

Den personliga instickskatalogen är:

$HOME/.local/lib/wireshark/plugins

På macOS, om Wireshark är installerat som ett programpaket, är den globala instickskatalogen i stället:

%APPDIR%/Contents/PlugIns/wireshark

På Windows är den globala instickskatalogen:

plugins/

under huvudinstallationskatalogen, exempelvis:

C:\Program Files\Wireshark\plugins\

Den personliga instickskatalogen är:

%APPDATA%\Wireshark\plugins

eller, om %APPDATA% inte är definierad:

%USERPROFILE%\Application Data\Wireshark\plugins

Lua-insticksmoduler lagras i instickskatalogerna. Kompilerade insticksmoduler lagras i underkataloger till instickskatalogerna, där underkatalogens namn är Wiresharks minor-version, X.Y.

Det finns ytterligare en hierarkisk nivå för varje typ av Wireshark-insticksmodul: libwireshark, libwiretap och codecs.

Exempelvis skulle platsen för en libwireshark-insticksmodul foo.so, eller foo.dll på Windows, vara:

PLUGINDIR/X.Y/epan

libwireshark kallades tidigare libepan. De andra katalognamnen är codecs och wiretap.

Observera: På UNIX-kompatibla system kan Lua-insticksmoduler, men inte binära insticksmoduler, även placeras i:

$XDG_CONFIG_HOME/wireshark/plugins

eller, om $XDG_CONFIG_HOME/wireshark inte finns men $HOME/.wireshark finns:

$HOME/.wireshark/plugins

Observera att en dissektorinsticksmodul kan stödja mer än ett protokoll. Det finns inte nödvändigtvis en ett-till-ett-relation mellan dissektorinsticksmoduler och protokoll. Protokoll som stöds av en dissektorinsticksmodul aktiveras och inaktiveras på samma sätt som protokoll som är inbyggda i Wireshark.

MILJÖVARIABLER

WIRESHARK_CONFIG_DIR

Denna miljövariabel åsidosätter platsen för personliga konfigurationsfiler.

På UNIX-kompatibla system, såsom Linux, macOS, BSD, Solaris och AIX, är standardvärdet:

$XDG_CONFIG_HOME/wireshark

eller, om den katalogen inte finns men $HOME/.wireshark finns:

$HOME/.wireshark

Detta är vanligtvis:

$HOME/.config/wireshark

På Windows är standardvärdet:

%APPDATA%\Wireshark

eller, om %APPDATA% inte är definierad:

%USERPROFILE%\Application Data\Wireshark

Tillgänglig sedan Wireshark 3.0.

WIRESHARK_DEBUG_WMEM_OVERRIDE

Om denna miljövariabel sätts tvingas wmem-ramverket att använda angiven allokeringsbackend för alla allokeringar, oavsett vilken backend som normalt anges av koden. Detta är främst användbart för utvecklare vid testning eller felsökning. Se README.wmem i källdistributionen för detaljer.

WIRESHARK_RUN_FROM_BUILD_DIRECTORY

Denna miljövariabel gör att insticksmoduler och andra datafiler laddas från byggkatalogen, där programmet kompilerades, i stället för från standardplatserna.

Den har ingen effekt när programmet körs med root- eller setuid-behörigheter på UNIX-kompatibla system såsom Linux, macOS, BSD, Solaris och AIX.

WIRESHARK_DATA_DIR

Denna miljövariabel gör att olika datafiler laddas från en annan katalog än standardplatserna. Den har ingen effekt när programmet körs med root- eller setuid-behörigheter på UNIX-kompatibla system.

ERF_RECORDS_TO_CHECK

Denna miljövariabel styr antalet ERF-poster som kontrolleras när programmet avgör om en fil verkligen är i ERF-format. Om variabeln sätts till ett högre tal än standardvärdet, 20, blir falska positiva resultat mindre sannolika.

IPFIX_RECORDS_TO_CHECK

Denna miljövariabel styr antalet IPFIX-poster som kontrolleras när programmet avgör om en fil verkligen är i IPFIX-format. Om variabeln sätts till ett högre tal än standardvärdet, 20, blir falska positiva resultat mindre sannolika.

WIRESHARK_ABORT_ON_DISSECTOR_BUG

Om denna miljövariabel är satt anropar Rawshark abort(3) när ett dissektorfel upptäcks.

abort(3) gör att programmet avslutas onormalt. Om du kör Rawshark i en debugger bör programmet stanna i debuggern och låta dig inspektera processen. Om du inte kör det i en debugger kan det på vissa operativsystem, förutsatt att miljön är korrekt konfigurerad, skapa en core dump-fil.

Detta kan vara användbart för utvecklare som försöker felsöka problem med en protokolldissektor.

WIRESHARK_ABORT_ON_TOO_MANY_ITEMS

Om denna miljövariabel är satt anropar Rawshark abort(3) om en dissektor försöker lägga till för många objekt i ett träd. Detta är vanligtvis ett tecken på att dissektorn inte bryter ut ur en loop tillräckligt tidigt.

abort(3) gör att programmet avslutas onormalt. Om du kör Rawshark i en debugger bör programmet stanna i debuggern och låta dig inspektera processen. Om du inte kör det i en debugger kan det på vissa operativsystem, förutsatt att miljön är korrekt konfigurerad, skapa en core dump-fil.

Detta kan vara användbart för utvecklare som försöker felsöka problem med en protokolldissektor.

SE ÄVEN

• wireshark-filter(4)
• wireshark(1)
• tshark(1)
• editcap(1)
• pcap(3)
• dumpcap(1)
• text2pcap(1)
• pcap-filter(7)
• tcpdump(8)

NOTERINGAR

Detta är manualsidan för Rawshark 4.7.0. Rawshark är en del av Wireshark-distributionen.

Den senaste versionen av Wireshark finns på:

• https://www.wireshark.org

HTML-versioner av Wireshark-projektets manualsidor finns på:

• https://www.wireshark.org/docs/man-pages

FÖRFATTARE

Rawshark använder samma paketdissekeringskod som Wireshark och använder även många andra moduler från Wireshark. Se författarlistan i manualsidan för Wireshark för en lista över författare till den koden.

KOLOFON

Den här sidan är en del av projektet wireshark, som används för att interaktivt dumpa och analysera nätverkstrafik.

Information om projektet finns på:

• https://www.wireshark.org/

Felrapporter för denna manualsida kan lämnas via:

• https://gitlab.com/wireshark/wireshark/-/issues

Denna sida hämtades från projektets uppströms Git-arkiv:

• https://gitlab.com/wireshark/wireshark.git

Sidan hämtades den 16 januari 2026. Vid den tidpunkten var datumet för den senaste commit som hittades i arkivet också den 16 januari 2026.

Om du upptäcker renderingsproblem i denna HTML-version av sidan, känner till en bättre eller mer uppdaterad källa, eller har rättelser eller förbättringar av informationen i denna kolofon, som inte är en del av den ursprungliga manualsidan, skicka e-post till:

• man-pages@man7.org

Sidinformation

Manualsidans datum: 7 mars 2025.

HTML-renderingen skapades den 16 januari 2026 av Michael Kerrisk, författare till The Linux Programming Interface.

Mer information om Linux- och UNIX-systemprogrammeringskurser finns på:

• https://man7.org/training/

Hosting tillhandahålls av jambit GmbH.

Sidslut

Orginalhemsidan på Engelska https://man7.org/linux/man-pages/man1/rawshark.1.html Det här är en maskinöversättning av Linux man sidor till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på https://www.linux.se/kontaka-linux-se/

Tack till Datorhjälp som har sponsrat Linux.se med webbhotell.