我有一个 ICMP 数据包的 pcap。 我正在尝试使用 tshark 来提取有效载荷数据,以便我可以提取特定的字节偏移量。

tshark 文档非常复杂,特别是对我这个初学者来说。

我一直在四处寻找,我正试图为我的目标拼凑一个命令。

我可以运行以下命令:

shark -r test.pcapng -Y icmp -z flow,icmp,network > output.bin

但它只输出在 Wireshark 中显示的数据包列表。

例如,我试图从每个数据包中提取以下字节偏移量(偏移量 22):

在此处输入图片说明

我将如何使用 tshark 提取特定的字节偏移量?

编辑:

发出以下命令只返回一部分有效载荷数据,我怎样才能获得所有数据?

tshark -r test.pcapng -Y "frame.number == 13" -T fields -e data -w output.bin

在此处输入图片说明

#1楼 票数:1

我已经在https://ask.wireshark.org/question/14795/extract-specific-byte-offset-using-tshark/ 上提供了答案,但为了方便起见,我将总结我在此处提供的 2 种可能的解决方案. 简而言之:

  1. 图像中突出显示的字节似乎是 IP 标头的 TTL 字段。 如果这是您感兴趣的领域,您可以通过以下方式获得它:

    \n tshark -r test.pcapng -Y "frame.number == 13" -T fields -e ip.ttl -w output.bin\n
  2. 如果您正在寻找更通用的解决方案来打印数据包的第 22 个字节,无论它是否是ip.ttl字段,那么您可以使用以下解决方案:

    \n tshark -r test.pcapng -Y "frame.number == 13" -x -w output.bin |  grep "^0010" | 剪切 -d ' ' -f 9\n

上面的第二个解决方案还说明了如何转储所有字节; 它是使用 tshark 的-x选项完成的。

  ask by juiceb0xk translate from so

未解决问题?本站智能推荐:

1回复

TShark 的 Elasticsearch 映射

今年 2 月 15 日,TShark 添加了使用选项-G elastic-mapping为 Elasticsearch 生成映射文件的支持。 问题是我已经尝试过了,但是当您尝试PUT生成的映射时,Elasticsearch 会抱怨。 有任何想法吗? (我使用的是 Elasticsearch 7.4
1回复

将 pcap 文件转换为 csv:Tshark 在一行中为某些数据包显示多个 src、dst IP 地址

我想将 pcap 文件转换为带有“Tshark”的 csv/tsv,其中每一行对应一个数据包并具有以下格式:时间戳 src_ip dst_ip 协议 我使用这个命令: tshark -r <file_name.pcap> -T fields -e frame.time_epoch -e
1回复

使用text2pcap(或等效)将多个纯文本数据包合并为一个pcap

我正在尝试将多个纯文本数据包合并到一个大的pcap文件中。 我一直在每个单独的文本文件上使用text2pcap,然后在所有pcap上使用mergecap来创建最终输出。 但是,这确实很慢,因为它涉及到写出每个pcap文件,将它们全部合并在一起,然后删除所有单个pcap。 我希望通过一次将多
1回复

使用Tshark提取PCAP

我正在尝试使用Tshark工具提取PCAP。 有什么方法可以获取文件信息,例如源和目标IP,从Tshark提取的每个文件的源和目标端口以及时间戳? 例如。 我正在使用http命令提取sample.pcap文件: 生成以下文件, %2f gSEUozajoHorzUcf
1回复

如何使用tshark提取网络流量信息?

我需要分析802.11g第1章中发生的无线流量。 我已经使用NETMON作为test.cap文件捕获了所有流量日志。 问:如何使用tshark将信息提取为适当的格式,以便可以将其用于进一步的后期处理?
1回复

tshark:从数据包数据(内容)中捕获特定字节

我有一个捕获的跟踪 (.pcap) 文件,我想读取此跟踪中每个捕获数据包的数据字段。 我可以使用以下命令执行此操作: tshark -r aa.pcap -Tfields -Y "udp" -e 数据 该命令读取每个数据包的数据字段中的所有内容。 我的问题是如何从数据中读取特定字节(例如仅第
3回复

如何使用tshark或任何其他工具从现有的pcap文件中提取全套功能?

我是网络流量分析的新手。 我使用了以下Tshark命令,但没有运气。 C:\\ Program Files \\ Wireshark> tshark -r C:\\ Users \\ Ravi \\ Desktop \\ IDS-augustdocuments \\ iscxd
1回复

如何使用 Wireshark/tshark 剖析 UDP msgpack?

从 v3.0.0 Wireshark 开始支持 msgpack。 我有一个捕获文件,其中包含封装在 UDP 中的 msgpack 消息,我想对其进行剖析。 问题是当我运行时: 我收到以下消息: 支持的协议列表包含 msgpack: 这是示例捕获文件的链接: https : //drive