关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。这个问题似乎不是关于aspecificprogrammingproblem,asoftwarealgorithm,orsoftwaretoolsprimarilyusedbyprogrammers的.如果您认为这个问题是关于anotherStackExchangesite的主题，您可以发表评论，说明问题可能在哪里得到解答。关闭8年前。Improvethisquestion有没有办法使用yuminstall在RHEL机器上安装tshark？当我这样做时:yuminstalltshark我回来了:Sett

我正在使用TShark命令行来开始新的捕获。如果我使用此命令tshark.exe-wC:\test.pcap-i(myinterfacenumber)我将捕获保存在我的硬盘上，这是需要的，但此命令的输出显示收到的数据包数量，一直在更新的数量以及我无法获得的输出。使用这个命令:tshark.exe-i(myinterfacenumber)我可以看到数据包的详细信息，我可以得到进程输出以便在我的表单(win表单)上显示，直到现在我找不到任何命令可以显示数据包详细信息并将捕获文件保存在我的硬盘上。如果我使用此命令:tshark.exe-i(myinterfacenumber)-wC:\tes

有人知道在tshark或wireshark中我可以用来重新组装pcap文件的代码在哪里吗？我正在开发一个应用程序，需要重新组装pcap文件，但不需要wireshark/tshark的其他功能...所以，希望以此为指导。谢谢。 最佳答案 如果是tcpdump文件(不是ng格式)，你可以扔掉第二个文件的前24个字节(文件头)并将其余部分连接到第一个文件，然后对所有其他文件执行相同的操作。 关于tcp-Wireshark/Tsharkpcap重组代码，我们在StackOverflow上找到一个

我正在尝试从数据包中获取一些字段，例如目的地ip=ip.dst;但是我不确定源端口和目标端口的ID是什么。据我所见，它们似乎是特定于协议(protocol)的，即udp=udp.destport;但是我想知道是否有一种方法可以不考虑协议(protocol)来获取端口。以下是我尝试过的示例:-n-Tfields-Eseparator=,-eframe.time-eip.src-eip.dst-eip.proto-etcp.port-eip.len-etcp.flags.push'---祝福。 最佳答案 可能找出字段名称的最简单方法是在

我试图发送一个TCPSYN通过端口8000将数据包发送到我机器上的服务器.然后，我想检查服务器是否响应SYNACK.如果是这种情况，那么我会发回RST数据包中止连接。然而，当我嗅到SYN我发出的数据包告诉我TCPheader的伪造长度为0，但事实并非如此。我使用的嗅探器是tshark，顺便一提。这是我的代码:在main功能，我运行这个:FLAGSf=SYN;tcp_scan("127.0.0.1",8000,f,0);此函数组装IPheader:structiphdr*assemble_ip(char*dest,unsignedintproto){/*AssembleIPLayer*/

我正在尝试从捕获中获取大小为24M的TCPStream。我可以用wireshark得到它，但我需要一个没有界面的命令来得到它。我首先在小于1M的捕获中尝试使用TShark，并且我能够在同一捕获中获得与wireshark相等的tcpstream。在24M的捕获中，我不能。wireshark中的TCPStream很大，与TShark中给出的不匹配。我不明白这是什么问题。我正在使用以下命令:tshark-rcap.pcapng-Tfields-edata知道问题出在哪里吗？或者跟什么有关？我也可以寻求可以解决我的问题的其他解决方案。谢谢。 最佳答案

使用tshark，我如何让它解码并显示应用层？例如，我可以使用以下方法捕获和解码snmp流量:sudotshark-V-ilo-dudp.port==161,snmp这将解码所有层，从物理层到应用层(输出截断):Frame120:134bytesonwire(1072bits),...Interfaceid:0....EthernetII,Src:00:00:00_00:00:00(00:00:00...Destination:00:00:00_00:00:00.......InternetProtocolVersion4,Src:127.0.0.1...Version:4....Us

我有一个在端口8888(不，它不是http)和TCP之上运行的自定义协议(protocol)。我已经将数据包流捕获到PCAP文件中。问题是现在我不能只显示它的数据部分。我试过以下命令:tshark-rtest.pcap-R'tcp.port==8888&&tcp.len>0'-Tfields-e"tcp.data"但它显示一个空字符串。tcp.data字段不就是保存TCP数据包数据的字段吗？如何只显示我需要的数据？ 最佳答案 Wireshark中有“分析/跟踪TCP流”功能。只需从数据包列表中选择TCP数据包，然后选择“Follow

一前言tshark作为wireshark的命令行版本，功能非常强大，可以抓包，数据包分析、提取文件、提取分析后的数据还支持各种格式，可以说一把流量分析的瑞士军刀，如果在低流量的场景，包装下tshark命令，就可以做个功能比较丰富的分析系统了，结合检测规则，一个简单点的IDS系统就出来了。二核心功能2.1抓包如同tcpdump一样，tshark也可以通过命令行方式进行流量捕获，功能一点也不弱。下面的例子是用em1作为测试网卡。2.1.1选择网络接口# 查看可以抓包的网卡信息/usr/local/bin/tshark -D例子：[root@localhost xxx]# /usr/local/bi

一前言tshark作为wireshark的命令行版本，功能非常强大，可以抓包，数据包分析、提取文件、提取分析后的数据还支持各种格式，可以说一把流量分析的瑞士军刀，如果在低流量的场景，包装下tshark命令，就可以做个功能比较丰富的分析系统了，结合检测规则，一个简单点的IDS系统就出来了。二核心功能2.1抓包如同tcpdump一样，tshark也可以通过命令行方式进行流量捕获，功能一点也不弱。下面的例子是用em1作为测试网卡。2.1.1选择网络接口# 查看可以抓包的网卡信息/usr/local/bin/tshark -D例子：[root@localhost xxx]# /usr/local/bi