玩转TShark（Wireshark的命令行版） 在我感叹Wireshark图形界面的强大时刻，有时候也无法克服有点慢，或者感叹下要是有命令行界面版该多好啊，实际上TShark就是WireShark的命令行版，WireShark的功能基本都有，还能组合grep / awk等编程处理分析抓包文件。 下面让我们通过一些示例来学习TShark的常用功能，所有用到的.cap / .pcap等都是通过t

介绍 本文档基于wireshark-2.6.10/编写 tshark为wireshark工具的命令行版本呢， 在服务器版本服务器上，通过tshark工具可以实现和wireshark相同的功能。工具使用wireshark默认配置，对于wireshark一些常用的首选项，也可通过tshark -o [key:value]修改。（可以通过tshark -G currentprefs查看可操作的首选项

根据这个描述，看着是正常的， 抓到包之后，可以方便的分析问题，省去在wireshark里解码的问题。 经过调查发现是内核将ESP解开之后，如果是tunnel模式，内核又重新将skb丢给了interface去做处理。这样tshark/tcpdump就可以抓住了 还开了wireshark的一个问题，自己解决： https://ask.wireshark.org/questions/scope:all/

tshark是wireshark包的linux命令行版 有时候我们想看看具体的协议细节 , 如果是使用的tcpdump 那么还需要把数据下载到本地 , 用wireshark看 这个时候就可以使用tshark apt install tshark centos下直接安装wirekshark  ,  yum install wireshark 抓取80端口的http协议细节 tshark -s 10