执行-z conv,ip命令不会显示主机名(如在 wireshark 中)。我执行命令,在监控到一些流量后,我用 Ctrl-C 停止 tshark,然后打印对话表。对于 Linux 和 Windows,对话表之前显示的消息正确显示了主机名,只有对话表没有主机名。
Linux:
- 命令:
tshark -i 1 -N n -f "tcp or udp" -z conv,ip - 操作系统:Fedora 17 x86
- tshark 版本:1.6.12
- 尝试的解决方案:
- 省略
-N - 使用
-N C
- 省略
视窗:
- 命令:
tshark -i 2 -f "tcp or udp" -z conv,ip - 操作系统:Windows 7 x64
- tshark 版本:1.8.4
- 尝试的解决方案:
- 省略
-N - 使用
-N C - 使用
-N n会导致 tshark 在 Ctrl-C 上出现错误:(tshark.exe:9692):CaptureChild-WARNING **: signal_pipe_capquit_to_child: 4 标头:错误无效参数
- 省略
如何让 tshark -z conv,ip 显示解析主机名?
答案1
让 tshark 在对话统计中显示已解析的主机名似乎是不可能的。
另一种方法是执行以下命令:
tshark -i 1 -N n -e ip.host -E separator=, -f "tcp or udp" -l > tshark_buffer
sort -u tshark_buffer -o tshark_buffer
其中第一个命令将数据包信息转储到名为的文件中tshark_buffer,第二个命令删除重复条目。数据包信息以表格形式存储host1,host2在每行中。但是,重复删除不会捕获主机反转的条目(即host2,host1)。