我正在通过命令行查找命令,告诉我Wireshark文件是否包含错误的校验和数据包,而不是使用GUI而是使用命令行(可能通过Tshark?)
我在这个论坛上看过这个命令,但现在找不到了。
答案 0 :(得分:1)
您可以使用tshark过滤具有特定字段:值的数据包。对于TCP数据包,存在tcp.checksum_bad字段。其他协议可以有另一个字段。此外,在TCP解析器中还有启用/禁用校验和验证的选项tcp.check_checksum。
所以用tshark找到校验和错误的数据包:
tshark -o 'tcp.check_checksum:True' -Y 'tcp.checksum_bad==True' -r input.pcap
您也可以尝试使用expert.message=="Bad checksum"过滤器。