tshark인터페이스 또는 pcap 파일에서 데이터를 가져옵니다. 인터페이스에서 데이터를 읽을 때 사용자는 -f(기반 pcap-filter(7))을 사용하여 필터를 작성해야 하고, 파일에서 읽을 때는 -Y(기반 )을 사용하여 wireshark-filter(4)필터를 작성 해야 합니다.
내 시나리오:
pcap 파일을 읽어야 하므로 wireshark-filter구문을 사용해야 합니다.
소스 주소, 대상 주소, 소스 포트 및 대상 포트가 있습니다. 하지만 세션 유형(TCP 또는 UDP)을 모릅니다. 포트의 경우 Wireshark 구문에는 다음과 같은 옵션이 있습니다.
tcp.dstport
tcp.srcport
udp.dstport
udp.srcport
tcp.port
udp.port
내 패킷이 TCP인지 UDP인지 모르겠습니다. dst 포트와 src 포트를 기반으로 필터를 작성해야 합니다.
tshark및를 사용하여 이를 달성하는 방법은 무엇입니까 -Y?
답변1
당신은 할 수디스플레이 필터 구축(-Y 옵션) or논리 연산자를 사용하여 UDP 및 TCP 패킷을 계산합니다.
예를 들어:
udp.srcport=8899 or tcp.srcport=8899 or udp.dstport==7788 or tcp.dstport==7788