linux – Tshark – 无法只显示自定义协议的数据

weixin_38058740 2019-09-12 12:35:28

我有一个自定义协议,运行在端口8888(不,它不是http)和TCP之上.我已经将数据包流捕获到PCAP文件中.问题是,现在我无法只显示它的数据部分. 我尝试过以下命令： tshark -r test.pcap -R 'tcp.port==8888 && tcp.len>0' -T fields -e "tcp.data" 但它显示一个空字符串. tcp.data字段不是保存TCP数据包的数据吗？如何仅显示我需要的数据？

...全文

35 1 打赏收藏转发到动态举报

写回复

用AI写文章

1 条回复

切换为时间正序

请发表友善的回复…

发表回复

weixin_38065217 2019-09-12

打赏
举报

Wireshark中有“分析/跟踪TCP流”功能. 只需从数据包列表中选择TCP数据包,然后“关注TCP流”….并且Wireshark显示所选连接的TCP会话. 编辑： tcp.data不存在.请改用data.data： tshark -r mon.pcap -R "(tcp.port == 8888) && (tcp.len > 0)" -T fields -e data.data 如果wireshark知道使用端口的协议(8888),那么前一个将不起作用.但以下技巧有效： tshark -r mon.pcap -R "(tcp.port == 8888) && (tcp.len > 0)" -T fields -d tcp.port==8888,echo -e echo.data