获取 tcpstream - wireshark 与 tshark
Get tcpstream - wireshark vs tshark
我正在尝试从捕获中获取大小为 24M 的 TCPStream。我可以用 wireshark 得到它,但我需要一个没有界面的命令来得到它。
我开始尝试在小于 1M 的捕获中使用 TShark,并且我能够在同一捕获中获得与 wireshark 相等的 tcpstream。在24M的捕获中,我不能。 wireshark 中的 TCPStream 很大,与 TShark 中给出的不匹配。
我不明白问题出在哪里。
我正在使用以下命令:tshark -r cap.pcapng -T fields -e data
知道问题出在哪里吗?或者与什么有关?
我也可以寻求可以解决我的问题的其他解决方案。
谢谢。
这可能不是最有效的方法,但这里是。
首先将跟踪文件分解为多个文件,您可以使用随 Wireshark 一起安装的 editcap。使用 -c 设置所需的参数。也可能有更好的方法请调查(我没有)
现在你有多个文件,处理起来不是很好,所以你必须创建一个批处理文件,在每个文件上调用 tshark。打开它们应用参数并写入一个新文件(我再次告诉你它效率不高)
-r <infile> -R "here goes you parameters" -w <outfile>
仍然没有,我们创建了一堆新文件,但我们最好将它们合并到一个文件中以便于使用,并获得比我们开始时小得多的文件。为此,我建议 mergecap -a
mergecap -a -w <outfile> <infile1> <infile2>......<infilen>
希望对您有所帮助
我正在尝试从捕获中获取大小为 24M 的 TCPStream。我可以用 wireshark 得到它,但我需要一个没有界面的命令来得到它。
我开始尝试在小于 1M 的捕获中使用 TShark,并且我能够在同一捕获中获得与 wireshark 相等的 tcpstream。在24M的捕获中,我不能。 wireshark 中的 TCPStream 很大,与 TShark 中给出的不匹配。
我不明白问题出在哪里。
我正在使用以下命令:tshark -r cap.pcapng -T fields -e data
知道问题出在哪里吗?或者与什么有关?
我也可以寻求可以解决我的问题的其他解决方案。
谢谢。
这可能不是最有效的方法,但这里是。
首先将跟踪文件分解为多个文件,您可以使用随 Wireshark 一起安装的 editcap。使用 -c 设置所需的参数。也可能有更好的方法请调查(我没有)
现在你有多个文件,处理起来不是很好,所以你必须创建一个批处理文件,在每个文件上调用 tshark。打开它们应用参数并写入一个新文件(我再次告诉你它效率不高)
-r <infile> -R "here goes you parameters" -w <outfile>
仍然没有,我们创建了一堆新文件,但我们最好将它们合并到一个文件中以便于使用,并获得比我们开始时小得多的文件。为此,我建议 mergecap -a
mergecap -a -w <outfile> <infile1> <infile2>......<infilen>
希望对您有所帮助