wireshark - 如何使用选项 -T 字段列出数据包中每一层的信息?
问题描述
我有一个文件 pcap.pcap,我想使用选项 -T 我的命令打印每个数据包的所有字段: tshark -r filepcap.pcap -T fields -e tcap.begin -e tcap.continue -e tcap.end -e tcap .tid -E 分隔符="|"
但在控制台上显示每一行:
(begin|continue|end|tid)
1,1|||04:1e:4f:30,a1:04:07:a7
1|1||84:10:01:6f,04:1b:65:64
1|||03:fa:58:1a
我看到每行都有 2 层 TCAP 或 CAMEL,并且无法用它的 tid 映射字段。
示例行:
1|1||84:10:01:6f,04:1b:65:64
id1 = 84:10:01:6f id2=04:1b:65:64 并且我无法将它们(id1 或 id2)映射为开始或继续
如果可以,请你帮助我。
解决方案
如果您对tcap.tid
字段的内容最感兴趣,您可以修改您的tshark
命令,以便仅显示存在该字段的那些数据包,并且您还可以首先显示 tid,而不是最后,例如:
tshark -r filepcap.pcap -Y "tcap.tid" -T fields -e tcap.tid -e tcap.begin -e tcap.continue -e tcap.end -E separator="|"
推荐阅读
- javascript - 如何在类中搜索id,每次页面重新加载时id都会改变
- javascript - 无法使用 Java 在 Selenium WebDriver 中定位/填充文本框
- swift - 最合适的语法来消除警告和正确的编码技术
- android-glide - 升级到 Glide 4.9.0 时如何解决 AbstractMethodError
- javascript - Twitter OAuth 请求令牌失败
- ansible - ansible:如何显示使用 with_items 的任务的输出?
- amazon-web-services - 使用任意值作为 dynamodb 扫描或查询的“ExclusiveStartKey”是否安全?
- c# - Newtonsoft Json 序列化/反序列化嵌套属性
- swift - 发送核心数据对象发布 api Alamofire multipartFormData
- sql-server - 在另一个 SQL Server 上执行备份时,事务日志文件大小结转