如何使用tshark获取数据包的tcp有效负载,并获取发送这些数据包的源IP?
此命令适用于大多数数据包,但仍然打印一些没有源IP的数据包(为什么?):
tshark -Y "tcp.dstport == 80" -T fields -d tcp.port==80,echo -e echo.data -e ip.src
*要测试我的命令,请运行它,然后浏览到http://stackoverflow.com。请注意,通常数据块(" 47:45:54:20:2f:61:64:73:...")后面有一个IP,但并非总是如此。
答案 0 :(得分:0)
我发现了问题: 缺少源IP的数据包是IPv6,但我的原始命令只打印IPv4。
这有效:
tshark -Y "tcp.dstport == 80" -T fields -d tcp.port==80,echo -e echo.data -e ip.src -e ipv6.src