我已经尝试过在ip conversations中列出.cap file with Tshark。我可以使用*wireshark -> statistics -> conversations -> "ipv4" lable*轻松完成此操作,所以我想Tshark也很容易做到这一点:
tshark -n -r "d:\test\test.cap" -z conv,ip,"ip.len>50" -t ad
但是,打印完所有邮件后,tshark crashed : Tshark has stopped working.
tshark真的有错误吗? ......还是跟我一起?
答案 0 :(得分:0)
您可以使用选项-q:
在读取捕获文件时,或捕获而不是保存到文件时,不要打印数据包信息;如果您使用-z选项计算统计数据并且不希望打印数据包信息,只需要统计数据,这非常有用。
tshark -r test2905a.pcap -q -z conv,ip," ip.len> 50"
有关详细信息,请参阅man-page。
答案 1 :(得分:0)
我找到了一些东西!问题是我使用-t ad表达式:
广告绝对日期:绝对日期,显示为YYYY-MM-DD,时间,作为您所在时区的本地时间,是实际时间和日期 数据包被捕获
当我更改为-t r表达式时:
r relative:相对时间是第一次之间经过的时间 数据包和当前数据包
tshark不会崩溃,相关时间是负数,如“-6063.000000”!
所以我猜-t ad是罪魁祸首。但是,当我使用-z conv,tcp,[filter]时,Tshark不会崩溃。
!!!!!!! -z conv,ip,[filter] + -t ad + negative number time = BUG ?? !!