wireshark - 是否可以使用基于接口的 tshark 对 .pcap 文件应用读取过滤器?
问题描述
我可以做类似的事情:
tshark -r filename.pcap -R -i wan0?
filename.pcap正在分析的数据包捕获文件在哪里wan0,我需要为其应用过滤器的接口是什么?
解决方案
tcpdump 使用的普通 pcap 格式不包含有关捕获数据包的接口名称的信息。tshark 或 wireshark 默认使用的 pcapng 格式确实包含此信息。使用 pcapng 可以应用这样的显示过滤器:
tshark -r file.pcapng -Y 'frame.interface_name == "wan0"'
当然,这仅在 pcapng 文件包含在多个接口上捕获的数据包时才有意义。否则,此过滤器只会导致没有数据包或所有数据包。具体来说,它不会帮助在any伪接口上捕获,因为 pcapng 不会包含系统上各种接口的名称,而只会显示在单个any伪接口上捕获的所有数据包。
推荐阅读
- php - 如何在 laravel 中进行多字段唯一验证?
- java - N 的尾随零的数量
- javascript - Angular 外部 js 库调用 Document.Ready
- javascript - 无法在 redux 操作中重命名响应
- java - 为什么我们必须使用 index!= -1 来比较 java 中的 indexOf 字母
- android - 当我单击 Recyclerview 中的 ImageView 时,我想打开对话框
- android-studio - 可编辑 $Method$($ParameterType$ $Parameter$); 在 Android Studio 的结构搜索模板中没有返回 ::: public Editable getText()
- parquet - 在单个多核机器上索引大型 dask 数据帧时的内存使用情况
- c# - 调试扫雷器时遇到问题
- ios - 让滚动条在 UiCollectionview 上始终可见?