tshark从接口或 pcap 文件获取数据。当从接口读取数据时,用户必须使用-f(根据pcap-filter(7))编写过滤器,并且当从文件读取时,用户必须使用-Y(根据wireshark-filter(4))编写过滤器
我的场景:
我必须读取 pcap 文件,所以我必须使用wireshark-filter语法。
我有源地址、目标地址、源端口和目标端口。但我不知道会话类型(TCP 或 UDP)。对于端口,wireshark 语法有以下选项:
tcp.dstport
tcp.srcport
udp.dstport
udp.srcport
tcp.port
udp.port
我不知道我的数据包是TCP还是UDP,我需要根据dst端口和src端口编写过滤器。
如何用tshark和来实现-Y?
答案1
你可以构建显示过滤器(-Y 选项)使用or逻辑运算符对 UDP 和 TCP 数据包进行计数。
例如:
udp.srcport=8899 or tcp.srcport=8899 or udp.dstport==7788 or tcp.dstport==7788