WireShark在window系统Cmd命令行的抓包应用
工作中，有时候会遇到抓特定数据包的情况，但是却不知道这个特定数据包什么时候出现。因此就需要有设备值守抓包，这时就可以使用wireshark提供的tshark命令抓包。

一、抓包需求：
例如：通过本机电脑的第2块网卡，抓取100个主机地址是“192.168.100.1”的数据包，并且将此数据保存到D盘命名为ceshi.pacp文件，可以使用以下的命令实现：

tshark -i  2  -c 100 -f “host 192.168.100.1” -w d:/ceshi.pcap

如此，就可以愉快的完成特定目标数据包的抓包工作。接下来就是通过wireshark分析数据包了。

二、命令解释：

• tshark -D 查看本机网卡索引号
• tshark -i 指定接口编号，就是-D查看到的索引号
• tshark-c 设定按过滤条件抓包的数量，到达即停止
• tshark -f 使用过滤器
• tshark -w 将捕获的数据包保存到指定的文件中，通常为 pcap 格式

三、配置环境变量：
要实现以上命令，需要配置环境变量：以下是配置步骤

1. 首先查看wireshark安装目录，找到wireshark桌面图标，右键查看文件安装位置，一般tshark程序也在C:\Program Files\Wireshark 目录下。
2. 在打开的文件夹，鼠标单击文件路径，并且全选复制文件路径，后边添加环境变量会用到。
   
3. 桌面找到此电脑（computer），右键打开“属性”
   
4. 打开高级属性设置
   
5. 接下来在打开的页面，选择高级(1)–环境变量(2)
   
6. 接下来在打开的窗口中，选中“path"——“编辑（edit）”——新建（New）,接下来在光标位置粘贴前边复制的wireshark路径即可。
   
7. 接下来“win+r",在运行对话框中输入"cmd"，或者"powershell"，之后在命令行中就可以使用tshark命令抓包了
   

感谢大家，本章完。