我可以使用tshark读取/重播所有标头和字段,直到达到IPv6标头(以太网标头和IPv6标头),但是当我尝试重播pcap文件以读取icmpv6字段时,没有显示任何内容那些领域。
这是tshark的错误吗?有没有其他工具可以读取数据包所有标题中的所有字段?
我使用的tshark版本是1.2.11
答案 0 :(得分:1)
Bro是一个具有完全IPv6支持的网络流量分析工具,而tshark似乎很难与IPv6斗争。在Bro中,您可以通过在跟踪上运行连接摘要来获取连接摘要,如下所示:
bro -C -r trace.pcap
并检查同一目录中的结果文件conn.log。您可能会发现附带的工具bro-cut有助于仅提取列的子集,例如,
bro-cut id.orig_h id.resp_h id.orig_p id.resp_p proto < conn.log
将提取连接5元组并将其打印到STDOUT,以便您可以使用自己喜欢的文本咀嚼工具继续处理它。