问题标签 [tshark]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
bash - 连接持续时间计算处理时间
我在 bash linux 中使用以下代码来提取每个连接的持续时间
但是,处理时间非常长(100 个 pcaps 需要 1 分钟)。任何想法如何改善处理时间?
linux - 如何使用 tshark 应用和覆盖首选项?
我正在为wireshark-1.9.2 编写一个插件。我们在服务器上没有 GUI,所以我们使用 tshark。我的问题是如何使用 tshark 添加和应用新的首选项?
我的 $HOME/.wireshark/preferences 文件只包含一行:
当我运行 tshark 时,我收到一个警告:
我可以使用函数访问解析器代码中的首选项值prefs_register_uint_preference(...)。但是我不能-o在启动 tshark 时用选项覆盖它:
所以,这两个问题是:
- 如何使用 tshark 应用我的首选项文件,以便不再显示语法错误警告?
- 如何使用
-otshark 选项覆盖首选项值?
谢谢。
linux - 如何使用 TCL 脚本在 linux 中以 root 模式运行 tshark 命令?
我正在使用 linux pc 并安装了 tshark 。并且必须使用 TCL 脚本在 eth1 接口中捕获数据包。但是 tshark 以 root 模式运行。捕获和运行 pc 的脚本是相同的。如何以 root 身份登录以及如何使用 TCL 运行 tshark 命令?请为此提供解决方案。
输出
linux - tshark 中 pcap 的明文输出(带有来自 wireshark 的选项?)
我正在尝试运行一个脚本,该脚本允许我将所有 pcap 文件导出为纯文本版本,例如使用 wireshark。
我的问题是我需要在数据包格式选项下有数据包摘要行、数据包详细信息扩展、数据包字节和新页面上的每个数据包。我相信数据包摘要行默认打开,数据包详细信息使用 -V 标志“显示”。
这是我一直在使用的手册页。
我使用了以下命令:
任何援助将不胜感激。
tcp - 了解 [TCP ACKed unseen segment] [TCP Previous segment not capture]
我们正在我们的服务器上进行一些负载测试,我正在使用 tshark 将一些数据捕获到 pcap 文件中,然后使用 wireshark GUI 通过转到分析 - > 专家信息来查看出现了哪些错误或警告,并加载了我的 pcap ..
我看到了各种我不确定或还不完全理解的东西..
在警告下我有: 779 TCP 警告:未捕获的 ACKed 段(在捕获开始时常见) 446 TCP:未捕获上一个段(在捕获开始时常见)
例如:40292 0.000 xxx xxx TCP 90 [TCP ACKed unseen segment] [TCP Previous segment not capture] 11210 > 37586 [PSH, ACK] Seq=3812 Ack=28611 Win=768 Len=24 TSval=199317872 TSecr=4506547
我们还通过一个不错的命令运行 pcap 文件,该命令创建了一个命令行数据列
命令
基本上只是在 tcp.analysis.lost_segment 列中看到了一些东西,但并不多..\
任何人都可以启发可能发生的事情?tshark 无法跟上写入数据的速度,还有其他问题吗?假阳性?
unix - tshark:提取编解码器 G.723 的 rtp 有效载荷
为了从wireshark捕获的pcap文件中提取RTP有效负载,我使用tshark和命令
这在编解码器 g.729 和 ilbc 上取得了成功,但在编解码器g.723上却并非如此。我认为这个问题是由于 rtp 协议的字段有效负载不再存在(咨询wireshark时)。
知道如何提取编解码器 g.723 的有效负载吗?
wireshark - 在自定义 tshark 显示过滤器中解析协议名称
我想解析 tshark 的标准头输出。由于默认值不起作用,我正在使用一个自定义字段解析器,它几乎可以做同样的事情。我缺少的是协议名称的解析。我的命令是:
这几乎可行,我得到的是(这个例子是捕获两个 ping):
在正常的、没有自定义字段的 tshark 中,相同的两个 ping 看起来像这样:
我需要解决的主要区别在于我84的协议,而 tshark 打印ICMP 98. 我可以实现自己的查找表,但是有大量的协议,tshark 已经知道如何解码它们,我只需要弄清楚如何在我的解析中得到它。
linux - Tshark:子进程异常退出
当我们执行以下命令时,即使我在Tshark捕获中有相应的值,我也会收到以下错误。
谁能帮帮我吗 ?
这是数据包(仅 ICMPv6 部分)
ICMPv6选项(前缀信息:2001:abcd:2:ffff::/64)
类型:前缀信息(3)
长度:4(32字节)
前缀长度:64
c# - 尽管进程仍在运行,但 Tshark 会在几分钟后停止捕获
我已经构建了开始使用命令行捕获的 .Net 应用程序
一切正常,但几分钟后(当 thark 进程仍在运行时)我可以看到没有收到新的数据包(我只是打开磁盘上的捕获)并且经过的时间(统计信息 --> 摘要)没有增长。
如果我使用相同的命令但直接从命令行(没有 .Net 代码),它的工作不会停止。顺便说一句,我的wireshark版本是 1.10.0 下Windows 8 x64
wireshark - 如何将 tshark 时间格式化为 ISO 格式(yyyy-dd-mm)?
我正在尝试从包含 HTTP 流量的 PCAP 中打印出各种字段。其中一列应该是 ISO 8601 格式的时间戳 (YYYY-MM-DD hhmmss)。
此外,如果有人拥有在 -e 下工作的完整字段列表,那就太棒了(例如,ip.src、frame.time 等)。
举个例子,我从几个角度开始: