tshark 中的过滤器 -Y、-2 和 -R 在 Wireshark 版本 2.XX 中令人困惑。
在 1.8 版本中,我们可以应用多个过滤器,并使用以下命令将过滤后的数据包保存在 csv 文件中:
tshark.exe -r src.pcap -T fields -e frame.number -e frame.time -e frame.len -e ip.src -e ip.dst -e udp.srcport -e udp.dstport -E header=y -E separator=, -E quote=d -E occurrence=f -R (ip.src==x.x.x.x)&&(ip.dst==y.y.y.y) > filtered.csv
但此命令在 2.x 版本中不起作用。如果有人在新的 Wireshark 版本中应用了多重过滤器,请提供帮助。
【问题讨论】:
您应该能够通过将-R (ip.src==x.x.x.x)&&(ip.dst==y.y.y.y) 替换为-Y "(ip.src==x.x.x.x)&&(ip.dst==y.y.y.y)" 来实现您想要的。
【讨论】:
在 Windows 7 上,我使用了 wireshark 2.2.1,添加了 -2 并引用了 -R 选项后面的字符串,如下所示:
tshark.exe -r mypcap.pcapng -T fields -2 -e frame.number -e frame.time -e frame.len -E header=y -E separator=, -E quote=d -Eoccurrence= f -R "(ip.src==192.168.1.20)&&(ip.dst==20.1.168.192)"
在“-R”之后不引用表达式会导致打印字段并计算表达式。如果表达式结果为 TRUE,则过滤器被识别并给出结果。否则过滤器(例如 ip.src)将被系统评估为命令,导致“命令无法识别”
【讨论】: