我正在通过命令行查找命令,告诉我 Wireshark 文件是否包含错误的校验和数据包,而不是使用 GUI,而是使用命令行(可能是通过 Tshark ?)
我在这个论坛上看到过这个命令,但现在找不到。
我正在通过命令行查找命令,告诉我 Wireshark 文件是否包含错误的校验和数据包,而不是使用 GUI,而是使用命令行(可能是通过 Tshark ?)
我在这个论坛上看到过这个命令,但现在找不到。
您可以使用 过滤具有特定字段:值的数据包tshark
。对于 TCP 数据包,有tcp.checksum_bad
字段。其他协议可以有另一个字段。此外,对于 TCP 解析器,还有启用/禁用校验和验证的选项tcp.check_checksum
。因此,要使用 tshark 查找校验和错误的数据包:
tshark -o 'tcp.check_checksum:True' -Y 'tcp.checksum_bad==True' -r input.pcap
您也可以尝试expert.message=="Bad checksum"
过滤。
您可以使用:
_ws.expert.group == "Checksum"
作为过滤器,用于检查错误的校验和错误。
tshark -r input.pcap -Y '_ws.expert.group == "Checksum"'