出于某种研究原因,我需要获取 http 包的 tcp 序列号。我已经有了 pcap 文件,那么我应该如何用 tshark 来做呢?
非常感谢回答我的问题!!!
问问题
2918 次
2 回答
4
这样的事情应该这样做:
tshark -r your_file -R http -T fields -e tcp.seq
序列号是相对的或绝对的,由 .wireshark/preferences 控制。默认情况下它是相对的(所以你会看到小数字)。如果您想要绝对序列号,请编辑preferences:
tcp.relative_sequence_numbers: FALSE
于 2011-07-17T08:22:47.210 回答
-1
使用 tshark,
应用相应的 tcp 过滤器 (tcp.nxtseq) 检查此页面的更多信息 https://www.wireshark.org/docs/dfref/t/tcp.html
C:\Program Files\Wireshark>tshark -r C:<path to pcap>sample.pcap -T fields -e ip.src -e ip.dst -e ip.proto -e tcp.srcport -e tcp.dstport -e tcp.flags.ack -e tcp.flags.cwr -e tcp.flags.ecn -e tcp.flags.fin -e tcp.flags.ns -e tcp.flags.push -e tcp.flags.res -e tcp.flags.reset -e tcp.flags.syn -e tcp.flags.urg > C:/20Oct.txt
于 2016-02-20T22:46:30.930 回答