¿Cómo ejecutar Wireshark en segundo plano sin la GUI?

Como inicialmente visto aquí :

  

Por lo que recuerdo, TShark viene con todas las distribuciones de Wireshark. Esto se ejecuta desde la línea de comandos. La documentación para ello está aquí: enlace

     

Y hay algunos ejemplos sobre cómo usarlo aquí: enlace

- David Hewitt

También hay una alternativa completa en forma de tcpdump , que viene de forma predeterminada en muchas instalaciones de OS X. La sintaxis es diferente, pero es solo de línea de comandos, y es invaluable en un entorno más pequeño / solo de línea de comandos.

Debe ejecutarse como root, de lo contrario deshacer sudo .

Como @VxJasonxV dijo que puedes usar TCPDump y si no quieres que la salida en el terminal pueda usar >> filename TCPDump guarda el resultado en el archivo deseado.

puedes usar TCPDump con muchas opciones, pero creo que esta fue la mejor:

tcpdump -n -v -S -i en1 tcp

en1: interfaz que asignas IPv4

-v: produce (un poco más) salida detallada

-S: Imprime números de secuencia TCP absolutos, en lugar de relativos.

-n: no convierte direcciones (es decir, direcciones de host, números de puerto, etc.) en nombres.

-i: Escucha en la interfaz.

pero esto guarda la salida que no fue legible por humanos. Si desea procesar la salida que fue legible por humanos, debe usar tshark :

el comando que debes usar es algo como esto:

tshark -r ~/home/myHome/Desktop/file_name(produce by tcpdump) -R "ip.src==172.16.13.128" -T fields -e frame.number -e frame.time -e ip.id -e tcp.window_size -e tcp.analysis.ack_rtt -E header=y > ~/home/myHome/Desktop/file_name.txt

Puede ejecutarlo en screen , o en una sesión virtual X11 (Xvfb) que no se muestra en su monitor.