我有一个pcap文件,我想wireshark显示具有不同源地址的数据包。我该怎么做wireshark?
答案1
使用“统计”菜单下“端点(或对话)”项中的“IPv4”选项卡查看唯一主机(或对话)列表。您也可以通过右键单击特定条目来进一步过滤此处的捕获。
答案2
从您对 EMK 的回答的评论来看,您似乎正在寻找的是捕获文件中源 IP 地址的唯一列表。假设如此,您可以使用以下方法实现此目的tshark如下:
在 *nix 平台上:
tshark -r capture.pcap -T fields -e ip.src | sort -u
在 Windows 上,您可能需要一个批处理文件来完成等效的操作sort -u。您可以使用提供的这里,并提供如下:
tshark.exe -r capture.pcap -T fields -e ip.src > uniqinput.txt
sortuniq.bat uniqinput.txt
批处理文件:
@echo off
setlocal disabledelayedexpansion
set "prev="
for /f "delims=" %%F in ('sort uniqinput.txt') do (
set "curr=%%F"
setlocal enabledelayedexpansion
if "!prev!" neq "!curr!" echo !curr!
endlocal
set "prev=%%F"
)
答案3
我假设你正在寻找 IPV4 源,例如
ip.src == 192.168.0.200
提示:在数据包视图中,您可以右键单击一个值并选择“应用为过滤器”。