问题标签 [tshark]

使用 tshark 我尝试生成一个 dat 文件。以下是我用来使用 tshark 生成字段的命令：

1. 我想绘制每秒数据包数的图表。如何使用上述数据计算特定流的数据包数？
2. 如何为ip.dst== 30.0.0.13大型 pcap 文件匹配的特定流生成日志？

如何对现有的 .cap 文件应用过滤器？所以我有一个 .cap 文件并想过滤掉一个特定的 IP，那是什么命令。我正在使用wireshark。

谢谢

我可以使用 tshark 读取/重放所有标头和字段，直到达到 IPv6 标头（以太网标头和 IPv6 标头），但是当我尝试重放 pcap 文件以读取 icmpv6 字段时，这些字段没有显示任何内容。

这是tshark的错误吗？是否有任何替代工具可以读取数据包所有标头中的所有字段？

我使用的 tshark 版本是 1.2.11

我是wireshark/tshark的新手，所以我想知道这样的事情是否可行。我已经将一些流量捕获为 pcap 文件。我在wireshark中打开它并应用'http.cookie'过滤器，它只给我带有cookie的数据包。从这些数据包中，我只需要特定的 HTTP 信息，例如源/目标 ip、时间戳、http.content_type、http.content_length、cookie ID 字符串和完整的请求 uri。在wireshark中有点可能。但这一切都是在存储在计算机中的离线捕获 pcap 文件上完成的。

有没有办法在我只捕获带有 COOKIES 的 HTTP 数据包的界面上使用 tshark？然后将特定信息提取到文件中。我一直在谷歌上搜索，并尝试了很多例子，但很困惑。

我想我对捕获过滤器和读取过滤器感到困惑，有人可以帮助我吗？

下载并解压wireshark 1.7.1后，我做了一个禁用gtk的配置。但是，我无法做“make”它会引发以下错误。

cc1：警告被视为错误 packet-h248_annex_e.c:679：警告：取消引用类型双关指针将破坏严格的别名规则。

有人可以帮助构建和安装这个wireshark版本吗？

我正在构建应用程序，该应用程序开始使用命令行通过 Tshark 进行捕获，并且我正在寻找在启动 Tshark 进程后计算所有接收到的数据包的选项这是我启动该进程的函数：

也许有人有想法？

背景：我有一个用 Erlang 编写的自定义 HTTP 服务器，用于将内容流式传输到 iPad 应用程序。我正在使用 NSURLConnection - 标准的高级 Apple 方式来使用 HTTP 内容。但是我遇到了小块数据被缓冲并且没有立即传递给我的代码的问题，所以我被迫切换到 CFNetwork。

虽然 NSURLConnection 从未抱怨过，但 CFNetwork 有时（大约 3 次中的 1 次）会出现以下错误并终止连接：

根据Apple 文档，这对应于“无法解析 HTTP 服务器响应”。

这仅在连接打开几秒钟并做出响应后才会发生。

我已经使用 tshark 在服务器上进行了数据包捕获。它非常大，包含 UTF-8 以及机密细节。

如何验证它是有效的 HTTP 1.1 分块响应？

只是为了澄清一下，我查看了结果，tcpick -C -yP -r ...并没有立即看到任何问题，但我想知道是否有任何东西可以通过它来确认它的字节对字节有效。

是否有命令使用 tshark 获取由 Wireshark“电话 > VoIP 呼叫”GUI 选项提供的信息？

tshark 中是否有流 id 的概念？当我搜索过滤器时，我发现tcp.stream存在，但它与 udp 的等价物，即udp.stream不存在。当我打开一个 pcap 时，默认情况下它会显示帧号、IP 地址、信息等。在一列中，我还需要每个数据包的流 ID 以及帧号。tshark 提供这样的支持吗？如果没有，我有什么办法可以做到这一点？

我写了一个程序，我正在读取一个 pcap 文件，一个包一个包，我需要每个包读取的 flowid。如果我使用 tshark 命令作为

它显示数据包编号以及其他一些详细信息，但我希望也显示可以在我的程序中读取的 flowid。

任何帮助将不胜感激。谢谢。

如何通过对每个主机名使用 tshark&shell 或其他内容来获得 GET 和 HTTP/1.0 200 OK 之间的响应时间差异？你能推荐我回答这个问题吗？