我正在尝试从捕获中获取大小为 24M 的 TCPStream。我可以用 wireshark 得到它,但我需要一个没有界面的命令来得到它。
我首先在小于 1M 的捕获中尝试使用 TShark,并且我能够在同一捕获中获得与 wireshark 相等的 tcpstream。在24M的捕获中,我不能。 wireshark 中的 TCPStream 很大,与 TShark 中给出的不匹配。
我不明白这是什么问题。
我正在使用以下命令:tshark -r cap.pcapng -T fields -e data
知道问题出在哪里吗?或者跟什么有关?
我也可以寻求可以解决我的问题的其他解决方案。
谢谢。
最佳答案
这可能不是最有效的方法,但就是这样。
首先将跟踪文件分解为多个文件,您可以使用 editcap它与 Wireshark 一起安装。使用 -c 设置所需的参数.也可能有更好的方法请调查(我没有)
现在你有多个文件,这些文件不太好处理,所以你必须创建一个批处理文件,在每个文件上调用 tshark。打开它们应用参数并写入一个新文件(我再次告诉你它效率不高)
-r <infile> -R "here goes you parameters" -w <outfile>
我们还没有创建一堆新文件,但我们最好将它们合并到一个文件中以便于使用,并获得比我们开始时小得多的文件。为此我建议mergecap -a
mergecap -a -w <outfile> <infile1> <infile2>......<infilen>
希望对你有帮助
关于tcp - 获取 tcpstream - wireshark 与 tshark,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45467414/