Termshark完全指南：终端网络分析的强大工具

Termshark完全指南：终端网络分析的强大工具

【免费下载链接】termsharkA terminal UI for tshark, inspired by Wireshark项目地址: https://gitcode.com/gh_mirrors/te/termshark

Termshark是一款基于tshark的终端用户界面工具，灵感源自Wireshark。它将强大的网络分析能力与终端的便捷性完美结合，支持读取pcap文件、实时抓包、协议解析等核心功能。作为GitHub加速计划项目，其源码采用Go语言编写，编译后仅为单个可执行文件，可轻松部署到各类Linux服务器。

快速安装指南

Termshark提供多种安装方式，满足不同环境需求：

预编译包安装

官方已为主流Linux发行版、macOS、BSD及Android(termux)提供预编译包。以Ubuntu为例：

sudo apt-get install termshark

源码编译安装

需Go 1.14+环境，执行：

git clone https://gitcode.com/gh_mirrors/te/termshark cd termshark go install github.com/gcla/termshark/v2/cmd/termshark@v2.4.0

运行依赖

Termshark依赖tshark（Wireshark命令行工具），需确保其在PATH中：

# Ubuntu/Debian sudo apt-get install tshark # CentOS/RHEL sudo yum install wireshark

核心功能实战

基础操作速览

启动Termshark的三种常用方式：

• 分析本地pcap文件：termshark -r test.pcap
• 实时监控网卡：termshark -i eth0
• 读取标准输入：tcpdump -i eth0 -w - icmp | termshark

启动后按?可查看完整快捷键帮助，主要区域包括：

• 顶部：数据包列表（类似Wireshark主窗口）
• 中部：数据包结构树（展开协议详情）
• 底部：十六进制数据（原始字节视图）

高级过滤技巧

Termshark完全支持Wireshark的显示过滤器语法，按/激活过滤框：

• 过滤HTTP流量：http
• 特定IP通信：ip.addr == 192.168.1.1
• 端口范围：tcp.port >= 1024 and tcp.port <= 2048

输入时会实时提示语法正确性，红色表示无效，绿色可应用。支持自动补全，按Tab键展开建议列表。

TCP流追踪与数据提取

1. 在数据包列表中选中TCP包
2. 按a打开分析菜单，选择"Reassemble stream"
3. 可切换ASCII/十六进制视图，搜索关键词，过滤客户端/服务器数据

提取HTTP响应内容：

1. 追踪TCP流后按c进入复制模式
2. 方向键选择响应数据块
3. 按Ctrl+C复制到剪贴板（需X11转发或本地运行）

会话分析与过滤

通过"Analysis > Conversations"查看网络会话统计，支持以太网、IPv4/6、TCP/UDP协议：

1. 按:打开命令行，输入convs
2. 选中目标会话，点击"Apply"直接应用过滤
3. 支持双向/单向过滤切换

个性化配置

主题与颜色方案

Termshark提供多种内置主题，位于assets/themes/目录，包括：

• 默认主题：default-256.toml
• Dracula风格：dracula-256.toml

通过命令行切换：termshark --profile dracula，或在UI中按d快速切换深色模式。

自定义快捷键

通过命令行宏功能自定义操作，例如将F1设为退出快捷键：

:map <f1> ZZ

常用宏配置可保存至配置文件中。

高级技巧与最佳实践

远程服务器工作流

通过SSH使用Termshark时，推荐启用X11转发以支持剪贴板功能：

ssh -X user@server "termshark -i eth0"

大文件分析优化

处理GB级pcap时，先使用tshark预处理：

tshark -r large.pcap -Y "http and ip.addr == 192.168.1.1" -w filtered.pcap termshark -r filtered.pcap

数据包传输

使用魔术蠕虫洞快速传输pcap到本地：

1. 在Termshark中执行:wormhole
2. 本地终端运行：wormhole receive 9-mosquito-athens

常见问题解决

权限问题

抓包需root权限，或为普通用户添加capabilities：

sudo setcap cap_net_raw,cap_net_admin=eip $(which termshark)

中文字符乱码

确保终端支持UTF-8编码，或在配置文件中设置：

[display] encoding = "utf-8"

总结与资源

Termshark凭借其轻量、高效的特性，成为服务器端网络分析的理想工具。通过本文介绍的基础操作、过滤技巧和高级功能，你已能应对大部分网络调试场景。

实用资源：

• 官方文档：docs/UserGuide.md
• 常见问题：docs/FAQ.md
• 更新日志：CHANGELOG.md
• 快捷键速查表：启动Termshark后按?

收藏本文，下次遇到网络问题时，无需再为没有图形界面而发愁——Termshark让终端网络分析变得简单高效。

【免费下载链接】termsharkA terminal UI for tshark, inspired by Wireshark项目地址: https://gitcode.com/gh_mirrors/te/termshark