TShark.EXE ist die Capture Engine von WireShark als Kommandozeilen-Programm in der "DOS-Box" (Eingabe-Aufforderung) von Windows. Es hat kein GUI und arbeitet somit schneller und mit weniger Gefahr, LAN-Pakete während der Aufzeichnung zu verlieren.
TShark erzeugt, wenn es mit Default-Settings betrieben wird, nur eine einzige Trace-Datei, ggf. mit Größen von mehr als 1 GByte.
Da TraceMagic nur bis zu max. 500.000 LAN-Pakete je Aufzeichnungs-Datei verarbeitet, und da TraceMagic erfahrungsgemäß am besten arbeitet bei 50.000-100.000 LAN-Paketen je Datei (entspricht meistens einer Datei-Größe von 16-32 MB), dürfen diese Default-Settings (heißt: nur 1 Datei, und diese endlos groß) nicht verwendet werden.
TcpDump und TShark dürfen daher nur eingesetzt werden, wenn die richtigen Betriebsparameter eingestellt sind: (1.) Aufzeichung in endlos vielen, durchnummerierten Dateien. (2.) Begrenzung der Datei-Größe auf 16 oder 32 MB.
"-i" gibt an, über welches LAN-Interface das Capture laufen soll. (Ist nicht klar, welche Interfaces es gibt bzw. wie sie heißen, so wird dieses mit "tethereal -D" abgefragt; das "-D" muss GROSS geschrieben werden.) Bei älteren Windows-Versionen (bis WinNT4) wird der Interface-NAME angegeben (oberes Beispiel), bei neueren Windows-Versionen (Win2K ff.) wird die Interface-NUMMER angegeben (unteres Beispiel).
"-q" gibt an, dass während des Capture nicht die Anzahl der erfassten LAN-Pakete angezeigt wird; der Zähler kostet Prozessor-Zeit und kan dazu beitragen, das LAN-Frames verloren gehen. Der Parameter "-q" erhält keinen eigenen Wert nachgestellt.
"-s" gibt die Frame_Size an bzw. den Frame_Slice; heißt: Sollen die LAN-Frames in voller Größe eingelesen werden, oder nur die ersten x Octets/Bytes? Bei Ethernet bedeutet die Angabe "-s 1518" , dass die LAN-Frames in voller Länge eingelesen werden.
"-b" gibt an, wie viele Trace Files (Aufzeichnungs-Dateien) maximal erzeugt werden; gleichzeitig bedeutet der Schalter, dass mit einem Ring Buffer gearbeitet wird: Ist die Höchstzahl bzw. Gesamtzahl der zu schreibenden Trace Files erreicht, wird die älteste Datei mit den aktuell eintreffenden LAN-Frames überschrieben. Im aktuellen Beispiel werden bis zu 1000 Dateien erzeugt. Bei einer jeweiligen Größe von 32 MB (in der Syntax hier: 32.000 KB = 32 MB) ergibt das eine Gesamt-Aufzeichnungs-Menge von max. 32 GB.
"-F" gibt das Aufzeichnungs-Format an; für die Option "-b" ist zwingend erforderlich, dass der Parameter mit "-F libpcap" angegeben wird. Andernfalls kannbeispiel auch mit "-F ngsniffer" gearbeitet werden, wenn das Format des alten DOS-Sniffers (Network General, heute NAI) verwendet werden soll. Auch SnifferPro, Snoop etc. können gewählt werden (hierzu ist die Online-Hilfe zu befragen).
"-w" gibt den Datei-Namen an, unter dem die Trace_Files abgespeichert werden sollen. Hinter dem hier deklarierten Namen wird noch ein Zeit-Stempel bzw. eine laufende Nummer angehängt.
Das Projekt "WireShark" entstand in April 2006 in Ablösung des Vorläufers "Ethereal":
