我有以下命令:
tshark -n -r ./file.dump -Y "(tcp.flags.syn==1 or tcp.flags.ack==1 and tcp.flags.fin==0)"
由于某种原因打印和ICMP消息。
如何告诉tshark只打印tcp包?
我唯一能想到的是grep "TCP"。但这不是一个好的解决方案。
答案 0 :(得分:2)
由于某种原因打印ICMP消息。
Wireshark / TShark剖析ICMP消息的有效载荷;如果它们恰好包含TCP段的一部分,那么将被解析,因此数据包将包含这些标志。)
如何告诉tshark只打印tcp包?
tshark -n -r ./file.dump -Y "not icmp and (tcp.flags.syn==1 or tcp.flags.ack==1 and tcp.flags.fin==0)"