tshark 處理pcap檔案的參數說明
用tshark比慢慢用wireshark來的快多啦
tshark
-r 檔案來源
-Y "要濾出的封包filter"
-T fields -e 擷取的欄位1 -e 擷取的欄位2 -e 擷取的欄位3 ......(可視需要增加)
-E header=n (n代表擷取出來的檔案不要有標題列, y的話就是要)
-E separator=, (以","為分隔符號, /t 是tab, /s 是空白, 或是使用任意字元)
-E quote=n (每個欄位資料不要用符號框起來, d/s/n 分別為 雙引號/單引號/不要用符號)
-E occurrence=f (顯示該欄位的哪個值, f/l/a = 第一個/最後一個/全部)
範例
tshark -r C:\Users\user\Desktop\123.pcapng -Y "ip.src == 192.168.1.10" -T fields -e frame.time_relative -e ip.src -e ip.dst -e ip.proto -e tcp.srcport -e tcp.dstport -e frame.len -E header=n
-E separator=, -E quote=n -E occurrence=f
所有參數說明:
http://www.wireshark.org/docs/man-pages/tshark.html
有時候有的欄位可能會在不同版本下的wireshark可能會抓不到
如果發現想抓的欄位濾不出來的話
可以試試看其他的版本(ex. 使用Development Release才可以濾到wireshark的info那一欄)
tshark
-r 檔案來源
-Y "要濾出的封包filter"
-T fields -e 擷取的欄位1 -e 擷取的欄位2 -e 擷取的欄位3 ......(可視需要增加)
-E header=n (n代表擷取出來的檔案不要有標題列, y的話就是要)
-E separator=, (以","為分隔符號, /t 是tab, /s 是空白, 或是使用任意字元)
-E quote=n (每個欄位資料不要用符號框起來, d/s/n 分別為 雙引號/單引號/不要用符號)
-E occurrence=f (顯示該欄位的哪個值, f/l/a = 第一個/最後一個/全部)
範例
tshark -r C:\Users\user\Desktop\123.pcapng -Y "ip.src == 192.168.1.10" -T fields -e frame.time_relative -e ip.src -e ip.dst -e ip.proto -e tcp.srcport -e tcp.dstport -e frame.len -E header=n
-E separator=, -E quote=n -E occurrence=f
所有參數說明:
http://www.wireshark.org/docs/man-pages/tshark.html
有時候有的欄位可能會在不同版本下的wireshark可能會抓不到
如果發現想抓的欄位濾不出來的話
可以試試看其他的版本(ex. 使用Development Release才可以濾到wireshark的info那一欄)
留言