有人知道我如何才能过滤 tshark 中要求 ANY 记录的 DNS 请求吗?
到目前为止,我能够使用以下方法过滤 DNS 查询:
tshark -r capture.cap -T fields -e ip.src -e ip.dst -e dns.qry.name -R "dns.flags.response eq 0"
我如何才能通过 ANY 进行过滤?
答案1
您需要过滤 QTYPE 为 * (也称为 ANY)(用整数 255 表示)的查询:
在 WireShark 或 NetMon 中,这将是
"dns.qry.type==255"
因此tshark我认为应该是:
"dns.qry.type eq 255"
您可以在以下位置找到所有查询类型的数值RFC 1035 §3.2.3 “QTYPE 值”