Wireshark 提供tshark和dumpcap,而且我还看到人们使用wireshark二进制文件甚至tcpdump收集/保存网络流量。
网上有人声称或tshark几乎dumpcap没有什么不同。还有一些关于内存占用的其他讨论。
那么这些工具有什么区别呢?一种是否比另一种更新(即一种“遗留”,不应再使用),是否有其他(普遍接受的)推荐使用?
编辑:我见过这个问题,但它只是解释了基础知识。因此,如果您有一个仅收集流量的用例,那么在这里应该使用什么?或更笼统地说:哪个工具可以满足哪个用例?
Wireshark是一个图形应用程序。tshark是没有 GUI 的应用程序。(即命令行。)dumpcap是删除捕获逻辑的进一步改进;它的目的是转储以前记录的捕获,可能将其过滤到新的捕获文件中。所有三个应用程序都可以写入文件。GUI 实际上可以选择要保存的数据包。(tshark将记录一切。)
tcpdump是一个不同的、较旧的流量捕获应用程序。它从来没有图形用户界面。并且具有非常不同的过滤器语法和捕获数据包格式。
(个人喜好......我tcpdump在命令行使用和捕获文件。然后使用wireshark详细查看流量。)