Termshark
終端機 Wireshark 封包分析器
軟體分類 網路與資安 / 網路應用
軟體標籤
文字擴充Tailscale工作流程
開發廠商 Graham Clark
官方網站
Git 儲存庫產品說明
Termshark 是一款受到 Wireshark 啟發的終端機使用者介面(TUI)工具,專為分析網路流量與封包(pcap)而設計。它底層依賴 Wireshark 的命令行工具 tshark,將強大的封包分析功能帶入了純文字介面環境。這使得它非常適合在沒有圖形介面(GUI)的遠端伺服器、或是頻寬受限的 SSH 連線環境中使用。
Termshark 完整複製了 Wireshark 的經典三分割視窗佈局:上層顯示封包清單、中層顯示協定樹狀結構、下層顯示十六進位(Hex)原始數據。它支援滑鼠操作,並且能夠直接使用 Wireshark 的顯示過濾語法(Display Filters),讓習慣 Wireshark 的資安人員與網管能無痛上手。
核心特色:
- Wireshark 體驗:在終端機中重現 Wireshark 的三欄式佈局與操作邏輯。
- 相容過濾語法:直接支援標準的 Wireshark 顯示過濾器(如
ip.addr == 1.2.3.4)。 - 即時擷取:支援從網路介面進行即時封包側錄與分析(Live Capture)。
- 跨平台支援:使用 Go 語言編寫,編譯出的單一執行檔即可在各主流作業系統上運作。
常用指令
Termshark 可以讀取既有的 pcap 檔案,也可以直接監聽網路介面。以下是啟動與核心操作指令:
啟動與基礎操作
# 讀取現有的 pcap 檔案進行分析
termshark -r capture.pcap
# 指定網路介面進行即時封包擷取
termshark -i eth0
# 開啟並帶入預設過濾條件 (例如只看 HTTP)
termshark -i eth0 'tcp port 80'
| 按鍵 | 功能說明 | 對應指令 |
|---|---|---|
| Tab | 切換面板 (Switch Pane) | 在封包列表、詳情與 Hex 視窗間切換 |
| / | 搜尋/過濾 (Filter) | 開啟過濾器輸入框 |
| ? | 說明 (Help) | 顯示快捷鍵幫助選單 |
| q | 離開 (Quit) | 關閉程式 |
| Esc | 取消/返回 | 取消當前對話框或操作 |
| Enter | 展開/摺疊 | 展開或摺疊封包詳情樹狀結構 |
| c | 複製 (Copy) | 複製選取的封包資訊 |
| Space | 標記 (Mark) | 標記或取消標記選中的封包 |
進階技巧
鍵:快速切換最大化當前選取的面板(類似 Tmux 的 zoom 功能)。Shift + ?:開啟 Wireshark 的過濾器語法參考選單,方便查詢過濾指令。深色模式切換:若介面顏色在某些終端機顯示不清,可使用設定檔或參數調整主題配色。
操作介面
