tshark
インターフェイスまたはpcapファイルからデータをインポートします。インターフェースからデータを読み取るときは、ユーザーは-f
(ベースpcap-filter(7)
)を使用してフィルターを作成し、ファイルから読み取るときは-Y
(ベース)を使用してwireshark-filter(4)
フィルターを作成する必要があります。
私のシナリオ:
pcapファイルを読む必要があるため、wireshark-filter
構文を使用する必要があります。
送信元アドレス、宛先アドレス、送信元ポート、宛先ポートがあります。ただし、セッションの種類(TCPまたはUDP)がわかりません。ポートの場合、Wireshark構文には次のオプションがあります。
tcp.dstport
tcp.srcport
udp.dstport
udp.srcport
tcp.port
udp.port
私のパケットがTCPなのかUDPなのかわかりません。 dstポートとsrcポートに基づいてフィルタを作成する必要があります。
tshark
とを使用してこれを達成するには-Y
?
答え1
あなたはできますディスプレイフィルタの構築(-Y オプション)or
論理演算子を使用して UDP および TCP パケットを計算します。
たとえば、
udp.srcport=8899 or tcp.srcport=8899 or udp.dstport==7788 or tcp.dstport==7788