0

我有以下命令:

tshark -n -r ./file.dump -Y "(tcp.flags.syn==1 or tcp.flags.ack==1 and tcp.flags.fin==0)"

出于某种原因,打印和 ICMP 消息。

如何告诉 tshark 只打印 tcp 数据包?

我唯一想到的就是 grep 它grep "TCP"。但这不是一个好的解决方案。

4

1 回答 1

2

出于某种原因打印 ICMP 消息。

Wireshark/TShark 剖析 ICMP 消息的负载;如果它们碰巧包含 TCP 段的一部分,则将对其进行剖析,因此数据包将包含这些标志)。

如何告诉 tshark 只打印 tcp 数据包?

tshark -n -r ./file.dump -Y "not icmp and (tcp.flags.syn==1 or tcp.flags.ack==1 and tcp.flags.fin==0)"
于 2014-05-11T17:47:56.903 回答