樹莓派wireshark(tshark)抓包實驗

本文在樹莓派4b上測試wireshark網絡抓包。安裝圖形界面wireshark，sudo apt-get install wireshark 。安裝完成後後，在圖形界面沒有顯示接口，比如筆者的waln0就沒有顯示，在命令行輸入dumpcap -h 查看具體的命令格式，dump -i wlan0實時捕捉時顯示沒有權限，這個需要sudo chmod +x? /usr/bin/dumpcap? 添加權限即可。當然，圖形界面和windows壹樣的，抓包以及查看數據包沒啥好說的，重點說說wireshark命令行工具tshark。因為wireshark軟件不能在命令行從文件分析數據包，只能抓包。生成的記錄文件在shell命令行more命令打開後亂碼狀態。

筆者在刪除wireshark軟件時遇到壹個問題，卸載並清除配置apt-get remove --purge wireshark後顯示正在刪除，可是發現wireshark軟件依然存在，也可以正常拉起進程，後來發現是wireshark依賴的很多軟件包沒有刪除，apt-get autoremove wireshark:卸載軟件及其依賴的安裝，解決問題。

查找tshark的源是有的，console version。sudo apt-get install tshark。安裝後壹樣的，需要配置權限。

tshark -h可查看命令幫助信息。? 那就來測試壹下，tshark -i wlan0直接在終端上顯示捕捉到的網絡包列表

。 tshark -i wlan0 -w capture.pcap 用網卡wlan0捕捉數據包寫入capture.pcap文件。

tshark -i wlan0 -r capture.pcap，讀取capture.pcap文件內容。