【发布时间】:2014-05-12 01:47:56
【问题描述】:
我有以下命令:
tshark -n -r ./file.dump -Y "(tcp.flags.syn==1 or tcp.flags.ack==1 and tcp.flags.fin==0)"
由于某种原因打印和 ICMP 消息。
如何告诉 tshark 只打印 tcp 数据包?
我唯一想到的就是 grep 它grep "TCP"。但这不是一个好的解决方案。
【问题讨论】:
【发布时间】:2014-05-12 01:47:56
【问题描述】:
出于某种原因打印 ICMP 消息。
Wireshark/TShark 剖析 ICMP 消息的负载;如果它们恰好包含 TCP 段的一部分,则会对其进行剖析,因此数据包将包含这些标志)。
如何告诉 tshark 只打印 tcp 数据包?
tshark -n -r ./file.dump -Y "not icmp and (tcp.flags.syn==1 or tcp.flags.ack==1 and tcp.flags.fin==0)"
【讨论】: