网络分析工具Wireshark系列专栏：19-命令行工具 tshark

在没有图形界面的服务器上，或者当你需要脚本化、自动化网络抓包分析时，Wireshark GUI 就显得臃肿不堪了。这时候，它的命令行兄弟——tshark，便如同一把轻便又锋利的瑞士军刀，随时待命、悄无声息，却威力强大。

本文将带你从0到1，再到实战，全面掌握tshark的用法与精髓，适合系统管理员、安全工程师、DevOps、以及所有对网络流量感兴趣的你 👩‍💻👨‍💻！

什么是 tshark？🦈

tshark 是 Wireshark 的命令行版本，全称是“Terminal Shark”，一款专门为命令行环境设计的网络数据包分析工具。它可以捕获网络流量、解析数据包、生成统计信息，甚至将结果导出为各种格式。与 Wireshark 的图形界面不同，tshark 通过命令和参数操作，适合在终端或脚本中运行。

具备以下特点：

• 📦 直接使用 libpcap 抓取数据包；
• 🔍 拥有 Wireshark 的解析能力，可对各种协议结构化显示；
• 🧪 支持强大的过滤语法（Display Filters）；
• 📁 可导出为多种格式（JSON、PCAP、CSV等）；
• 🤖 适用于脚本、自动化任务、无图形环境；
• 💨 更快、更轻量，非常适合日志采集、批量分析等场景。