问题标签 [tshark]

When I run the Bash shell script below, the last line reports anywhere from 4 - 9 packets captured when it should report 29 - 34 packets captured, and it says "tshark: "RESULTS/C6-1/C6-1n10.pcap" appears to have been cut short in the middle of a packet."

If I run the tshark command embedded in the last line of this script from the command line after the scripts exits, the count is correct.

What am I doing wrong?

我正在尝试使用 tshark 从 CLI 捕获流量，如下所示：

如果我执行此命令，则提示不会返回，因为 tshark 为我提供了有关数据包计数的信息并将数据包信息保存在文件“Outputfile.pcap”中。如果可能的话，我想要的是找回提示。因此，我可以在不打开远程服务器上的另一个终端的情况下执行更多命令。我尝试使用末尾的“&”在后台运行进程，命令提示符返回，但数据包计数继续覆盖我正在输入的命令，我什么也看不到:(

有谁知道解决这个问题的方法？

我正在尝试使用 tshark 从 pacap 文件中获取未解码的部分，但它只显示了它可以解码的部分，其余的有效负载丢失了，有没有办法获取其余部分？记录如下。我需要获取 ESP SPI 和 ESP 序列“00 00 00 00 01 00 00 00 03”之后的 ESP 有效负载

我有以下命令：

出于某种原因，打印和 ICMP 消息。

如何告诉 tshark 只打印 tcp 数据包？

我唯一想到的就是 grep 它grep "TCP"。但这不是一个好的解决方案。

我正在使用 tshark 根据显示/读取过滤器将一些数据包从一个文件过滤到另一个文件。

在对多个文件执行多个读取过滤器并将所有文件合并到 out.pcap 之后，我希望有一个最终输出文件 out.pcap。

我试图使用mergecap，但它不允许附加（组合）两个文件并存储在其中一个文件中而不被覆盖。

有什么办法可以做到这一点，因为我不想继续创建临时文件并在最后将它们合并在一起。

我之前发布了一个题为“编写 Wireshark Dissector 来计算 TCP 流数”的问题。我得到了一些使用 Lua/Tap 的反馈，所以我开始编写一个，但我需要代码方面的帮助。我目前有以下水龙头必须具备的功能：Listener.new、listener.packet、listener.draw、listener.reset。

为了更好地了解我想要做什么，请在此处查看我之前的问题：

编写一个 Wireshark 解析器来计算 TCP 流的数量

我的新问题是，我是否需要编写代码来执行相当于 tshark 的命令：

在我继续编写代码来计算 TCP 流之前，先在 Lua/Tap 中提取统计信息？或者我需要做的就是在 Lua/Tap 中编写一个代码来提取 TCP 流计数。无论哪种情况，有人可以帮我写代码吗？我在网上搜索过，但找不到与我正在寻找的示例相近的示例，因此我可以自定义以适应我想要实现的目标。谢谢。

我发现了一个不错的 python 模块 pyshark，据我所知，它可以像 tshark 一样使用 bpf 过滤。我实际上正在寻找带有 bpf 过滤和显示过滤的实时捕获选项，以对这些数据执行其他操作并将它们存储到 db 以供以后分析。根据文档 pyshark 可以进行实时捕获，但我不知道如何为收到的每个数据包显示和发送到文件或数据库数据。我正在运行 IPv6 实验室网络。这是示例 python 脚本：

超时后，我可以打印时间和纪元时间，但只能打印每个数据包。包裹的其他部分我看不到

我将不胜感激任何帮助和指导，以进行实时捕获和每个数据包的数据以发送到数据库

我用wireshark嗅探过数据包。在那里您可以看到“协议”（例如 TLSv1.2）。但是如果我保存这些信息，即使我用 tshark 转换它，它也不再可见。我可以搜索像“ssl”或“https”这样的字符串，但协议已经消失了。有任何想法吗？

我正在尝试扩展 tshark 的输出。在第一轮我没有找到简单的解决方案，只有一个可以通过 -e 选项提取字段，所以以下命令输出

• 帧号
• 从捕获开始的时间
• 源IP地址
• 目标IP地址
• http 请求 uri
• 和 http 内容长度，我想将其添加到默认输出中。

tshark -T fields -e frame.number -e frame.time_relative -e ip.src -e ip.dst http.request.uri -e http.content_length

我的问题是，我找不到默认输出字段名称或留下它们并将所需字段附加到它的选项。

这不是强制性的，但很高兴知道:)

我正在 Linux 平台上使用 tshark (TShark 1.6.6) 调试 SNMP 陷阱问题。（目标平台不支持wireshark GUI。）PDU 中的OID 以数字格式显示，即使我安装了MIB 并/usr/share/snmp/mibs带有指向/usr/local/share/mibs. 我试过了-V。除了一些内存调试选项外，似乎没有 tshark 详细或调试选项。我检查了手册页并在 SNMP 或 MIB 上找不到任何内容。我试过strace了，我找到了一个文件/usr/share/wireshark/oid文件，但是当我把 MIB 目录放在那里时，我得到了一个flex错误，并且谷歌搜索这个神秘文件的含义没有任何结果。我可以将 OID 复制并粘贴到snmptranslate命令中，并且它可以正确翻译它们。我尝试使用and创建一个~/.wireshark目录smi_modulessmi_paths( "/usr/share/snmp/mibs")。我做了一个tshark -G currentprefs看看是否有相关的偏好，但没有。我已经用谷歌搜索了这个问题，但我得到了太多的谷壳，无法取得任何进展。我检查了 unix.stackexchange.com、superuser.com 和这个站点。我验证了人们在这个网站（其中 10,000 个）上提出了 wireshark 问题，以确保它是主题。

示例调用：

内容~/.wireshark/preferences：

如何让 OID 以符号格式显示，例如sysUpTimeInstance和snmpTrapOID.0？