我可以从.pcap 中检索以下信息:
================================================================================
IPv4 Conversations
Filter:ip.addr==1xx.1xx.0.1xx
| <- | | -> | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
1xx.1xx.0.1xx <-> xx.xx.xxx.1xx 655 104293 845 427945 1500 532238
1xx.1xx.0.1xx <-> x1.x4.x0.xx6 356 56107 571 439283 927 495390
但我想要一个 IP 与另一个 IP 之间的对话持续时间...在 Wireshark 中我可以复制该信息,但在 tshark 中我不能。有人知道怎么做吗?
答案1
您可以重定向到一个文件,这里有一个示例:
$ tshark -r test_04.pcap -q -z conv,ip,ip.addr==10.10.10.20 > conv_10101020.txt