TShark 是命令行网络通信分析器,利用此分析器可以从实时网络捕获包数据或者从以前保存的捕获文件读取包,方法是将已解码形式的包打印到标准输出或者将这些包写入到文件中。不带任何选项的情况下,TShark 的工作方式与 tcpdump 命令类似,并且还使用相同的实时捕获文件格式 libpcap。此外,TShark 还可以检测、读取和写入与 Wireshark 支持的文件相同的捕获文件。
Wireshark 是第三方图形用户界面 (graphical user interface, GUI) 网络协议分析器,用于以交互方式转储和分析网络通信。与 snoop 命令类似,您可以使用 Wireshark 在实时网络上或以前保存的捕获文件中浏览包数据。缺省情况下,Wireshark 将 libpcap 格式用于文件捕获,该格式也由 tcpdump 实用程序和其他类似工具使用。使用 Wireshark 的关键优势在于,它能够读取和导入 libpcap 格式之外的其他几种文件格式。
TShark 和 Wireshark 都提供了几项独特的功能,其中包括:
能够将一个 TCP 会话中的所有包组合起来,并以 ASCII、EBCDIC 或 hex 格式显示该会话中的数据
包含比其他网络协议分析器更多的可筛选字段
使用比其他网络协议分析器更丰富的语法创建筛选器
要在 Oracle Solaris 系统上使用 TShark 和 Wireshark,请先检查是否安装了这些软件包,如有必要,按以下方式安装它们:
# pkg install tshark
# pkg install wireshark
有关更多信息,请参见 tshark(1) 和 wireshark(1) 手册页。
另请参见位于 http://www.wireshark.org/ 的 Wireshark 文档。