3

满足特定条件后,我需要停止 tshark(wireshark 的命令行 equi)。

从 tshark 手册页中,我发现停止条件可以应用于持续时间、文件、文件大小和多文件模式。

我可以通过捕获过滤器应用任何停止条件,以便 tshark 停止捕获。

例如:在接收到来自特定端口号的 TCP SYN 数据包(捕获过滤器中应用的条件)时,tshark 停止捕获。

请回答这个谜语。

4

1 回答 1

0

您可以将输出通过管道传输到 head 并选择与查询匹配的第一帧,但您还需要禁用输出缓冲(stdbuf 是 coreutils 的一部分)

例如(Linux)

stdbuf -i0 -o0 -e0 tshark -r file.pcap -Y 'sctp.verification_tag == 0x2552' | head -1

苹果电脑:

gstdbuf -i0 -o0 -e0 tshark -r file.pcap  -Y 'tcp.flags.syn == 1 && tcp.port == 80' | head -1
于 2017-01-23T20:43:39.490 回答