我正在通过命令行查找命令,告诉我 Wireshark 文件是否包含错误的校验和数据包,而不是使用 GUI,而是使用命令行(可能是通过 Tshark ?)
我在这个论坛上看到过这个命令,但现在找不到。
问问题
2764 次
2 回答
2
您可以使用 过滤具有特定字段:值的数据包tshark。对于 TCP 数据包,有tcp.checksum_bad字段。其他协议可以有另一个字段。此外,对于 TCP 解析器,还有启用/禁用校验和验证的选项tcp.check_checksum。因此,要使用 tshark 查找校验和错误的数据包:
tshark -o 'tcp.check_checksum:True' -Y 'tcp.checksum_bad==True' -r input.pcap
您也可以尝试expert.message=="Bad checksum"过滤。
于 2013-06-17T11:56:00.643 回答
1
您可以使用:
_ws.expert.group == "Checksum"作为过滤器,用于检查错误的校验和错误。
tshark -r input.pcap -Y '_ws.expert.group == "Checksum"'
于 2022-02-03T14:56:00.193 回答