我可以使用 tshark 读取/重放所有标头和字段,直到达到 IPv6 标头(以太网标头和 IPv6 标头),但是当我尝试重放 pcap 文件以读取 icmpv6 字段时,这些字段没有显示任何内容。
这是tshark的错误吗?是否有任何替代工具可以读取数据包所有标头中的所有字段?
我使用的 tshark 版本是 1.2.11
问问题
167 次
1 回答
1
Bro是一个完全支持 IPv6 的网络流量分析工具,而 tshark 似乎与 IPv6 斗争。在 Bro 中,您可以通过在跟踪上运行它来获取连接摘要,如下所示:
bro -C -r trace.pcap
并检查conn.log同一目录中的结果文件。您可能会发现随附的工具bro-cut有助于仅提取列的子集,例如,
bro-cut id.orig_h id.resp_h id.orig_p id.resp_p proto < conn.log
将提取连接 5 元组并将其打印到 STDOUT,以便您可以使用您最喜欢的文本咀嚼工具继续处理它。
于 2012-08-03T18:24:09.337 回答