问题标签 [tshark]

有没有办法使用 yum install 在 RHEL 机器上安装 tshark？

当我这样做时：yum install tshark

我回来了：

当我这样做时： yum list tshark 我回来了：

我有 2 台服务器（serv1，serv2）进行通信，我正在尝试嗅探匹配从 serv1 传输到 serv2 的某些条件的数据包。Tshark 安装在我的桌面（desk1）上。我编写了以下脚本：

此脚本在 serv1 上运行时似乎运行良好（因为 serv1 正在向 serv2 发送数据包）。但是，当我尝试在desk1 上运行它时，它无法捕获任何数据包。他们都在同一个局域网上。我错过了什么？

给定一个 pcap 文件，我可以使用Wireshark 提供的简洁过滤器从重构的 HTTP 请求和响应中提取大量信息。我还能够将 pcap 文件拆分为每个 TCP 流。

我现在遇到的麻烦是，在我可以使用的所有很酷的过滤器中tshark，我找不到一个可以让我打印出完整的请求/响应正文的过滤器。我正在调用这样的东西：

我可以传递一些过滤器名称-e来获取请求/响应正文吗？我最接近的是使用-V标志，但它也会打印出一堆我不需要的信息，并且希望避免不得不用“哑”过滤器拼凑出来。

我使用 tshark 捕获数据并保存数据包头中的某些数据以进行处理，以便检测网络中的某些事件。我将数据保存在我的 lua 程序中的表中（使用命令 (-Xlua_script:) 在 cmd 中使用 tshark 运行），现在我想在捕获运行时单独处理每分钟的数据。这是一个在线处理。首先：任何机构都知道这是否可以实现？其次我需要一个计时器，我不知道如何做到这一点，我想要一种方法，我可以获取表中的数据来处理它们，重置表以获得下一分钟的新数据，不会丢失任何数据。有什么建议或想法吗？？

最近在服务器上更新了我的 Wireshark，并且失去了从 CLI 使用 -R 和 -w 的能力。由于我正在跟踪 SIP 和 RTP 呼叫，因此我需要使用 -R 而不是 -f。

我发现使用 -V 非常有用（在屏幕上显示数据包树），然后我可以将输出重定向到文件。不幸的是，我无法通过 Wireshark 打开该文件以正确查看（包含太多文本，无法轻松滚动）。

我尝试使用 -xt 添加十六进制转储（删除 -V），但在将文本文件复制到我的 PC 时，仍然无法通过 Wireshark 打开。

有什么想法可以使用 -R（带或不带 -V）进行跟踪，将文件复制到我的 PC 并且仍然能够通过 Wireshark 读取它吗？我没有将文件转换为可读格式的问题.. 只需要任何东西来查看文件并共享它们:)

谢谢大家，

//M

是否需要为wireshark 配置任何初始设置才能在Mac OSX 环境中正确处理lua 脚本？

尝试移植 Lua 回答问题“如何找出数据包的 HTTP 标头长度？” https://stackoverflow.com/a/5794357/1217670

无法让解决方案在 Mac 上运行。

该解决方案在带有 Wireshark 1.6.7、Lua 5.1 的 Windows XP 平台上运行良好。

在带有 Wireshark 1.6.5、Lua 5.1 的 Mac OSX 10.7.3 上运行 http_extra.lua 脚本。[Header Length (bytes): 917] 标头字段不出现。
我确实在自定义 HTTP 标头字段中输入了 http.hdr_len。

过滤 http.hdr_len 不显示任何内容。

http_extra.lua 脚本放置在 /Applications/Wireshark.app/Contents/Resources/lib/wireshark/plugins 目录中。
如果将脚本移动到个人插件文件夹，结果相同。

这是在 Windows XP 系统上完美运行的确切脚本文件。

About Wireshark Plugins 选项卡将 http_extra.lua 列为类型 lua 脚本。

测试脚本以创建错误可验证wireshark 知道该脚本。

我确实看到了一条注释，您需要将 LUA_PATH 设置为全局插件目录。这没有效果。

感谢任何建议。

我想在我机器的任何接口上的特定端口上捕获包。

我知道如何使用特定接口在特定端口上捕获包。命令是

tshark -f "udp 端口​​ 162" -i bond0

如果没有指定接口，TShark 会搜索接口列表，如果有非环回接口，则选择第一个非环回接口。

但是我想在我机器的所有接口上捕获包。有人可以帮我吗？

非常感谢！

我正在分析网络上的 VoIP 呼叫

现在我正在使用生成的 .pcap 文件，但稍后我将实时监听。

我正在使用 tshark，我可以很容易地从 .pcap 中过滤一些重要数据（例如“源 ip 地址和端口”、“目标 ip 地址和端口”、有效负载 pckt 丢失、Max Delta(ms)、Max Jitter(毫秒），平均抖动（毫秒））与

tshark -r myfile -q -z rtp,streams

我想知道的是：我怎样才能得到一个呼叫的 sip addrs？（客户端和服务器）

我可以通过过滤所有 sip INVITE 来检索一些 sip 地址（仅限客户端），如下所示：

tshark -r myFile -R "sip.Request-Line 包含 INVITE"

但是我无法获取服务器的地址。

澄清一下，我的想法是在 tshark 中获得这个“统计信息”，就像当我访问“电话 > VoIP 呼叫”时，wireshark 给我的一样（就像 tshark -r myfile -q -z rtp,streams 返回我的统计信息一样wireshark 的电话>RTP>显示所有流），有没有办法做到这一点？如果没有“统计”（-z），我如何创建一个过滤器（-R）来做类似于wireshark的“VoIPCall”功能的事情

我正在使用 tshark，因为我想处理这些数据，而不仅仅是在我的屏幕上分析它

谢谢

满足特定条件后，我需要停止 tshark（wireshark 的命令行 equi）。

从 tshark 手册页中，我发现停止条件可以应用于持续时间、文件、文件大小和多文件模式。

我可以通过捕获过滤器应用任何停止条件，以便 tshark 停止捕获。

例如：在接收到来自特定端口号的 TCP SYN 数据包（捕获过滤器中应用的条件）时，tshark 停止捕获。

请回答这个谜语。

我有一个相当大的 Pcap 文件。我只想读取这个文件中的一个数据包，例如第 10 个数据包。

我有一个像这样的 tshark 命令：

即使找到第 10 个数据包，该命令也会继续搜索整个文件。这需要很长时间。

我更喜欢在找到数据包时停止命令，我该怎么做？

谢谢你的任何建议。