tshark:从数据包数据(内容)中捕获特定字节
tshark: capture specific bytes from a packet data (content)
我有一个捕获的跟踪 (.pcap) 文件,我想读取此跟踪中每个捕获的数据包的数据字段。我可以使用此命令执行此操作:
tshark -r aa.pcap -Tfields -Y "udp" -e 数据
3000ca02f89f0004000115af0000017900.......
此命令读取每个数据包数据字段中的所有内容。我的问题是如何从数据中读取特定字节(例如,仅第 5 和第 6 个字节)
f89f
如果您的系统上有 cut 可用,您可以将 tshark 输出通过管道传输到它以隔离您想要的字符。例如:
tshark -r aa.pcap -Tfields -Y "udp" -e data | cut -c 9-12
您甚至可以按如下方式进行测试:
echo 3000ca02f89f0004000115af0000017900 | cut -c 9-12
f89f
编辑:我将偏移量从 10-13 调整为 9-12,因为这似乎是正确的偏移量。如果在 echo 命令中引用字符,则需要 10-13,但这些不是 tshark 输出所需的正确偏移量。
我有一个捕获的跟踪 (.pcap) 文件,我想读取此跟踪中每个捕获的数据包的数据字段。我可以使用此命令执行此操作:
tshark -r aa.pcap -Tfields -Y "udp" -e 数据
3000ca02f89f0004000115af0000017900.......
此命令读取每个数据包数据字段中的所有内容。我的问题是如何从数据中读取特定字节(例如,仅第 5 和第 6 个字节)
f89f
如果您的系统上有 cut 可用,您可以将 tshark 输出通过管道传输到它以隔离您想要的字符。例如:
tshark -r aa.pcap -Tfields -Y "udp" -e data | cut -c 9-12
您甚至可以按如下方式进行测试:
echo 3000ca02f89f0004000115af0000017900 | cut -c 9-12
f89f
编辑:我将偏移量从 10-13 调整为 9-12,因为这似乎是正确的偏移量。如果在 echo 命令中引用字符,则需要 10-13,但这些不是 tshark 输出所需的正确偏移量。