tshark中的过滤器-Y,-2和-R在Wireshark版本2.XX中令人困惑。
在1.8版本中,我们可以使用以下命令应用多个过滤器并将过滤后的数据包保存在csv文件中:
tshark.exe -r src.pcap -T fields -e frame.number -e frame.time -e frame.len -e ip.src -e ip.dst -e udp.srcport -e udp.dstport -E header=y -E separator=, -E quote=d -E occurrence=f -R (ip.src==x.x.x.x)&&(ip.dst==y.y.y.y) > filtered.csv
但是这个命令在版本2.x中不起作用。如果有人在新的Wireshark版本中应用了多重过滤器,请提供帮助。
答案 0 :(得分:1)
将-R (ip.src==x.x.x.x)&&(ip.dst==y.y.y.y)替换为-Y "(ip.src==x.x.x.x)&&(ip.dst==y.y.y.y)",您应该能够实现所需目标。
答案 1 :(得分:0)
在Windows 7上,我使用了wireshark 2.2.1,添加-2并引用了-R选项后面的字符串,如下所示:
tshark.exe -r mypcap.pcapng -T fields -2 -e frame.number -e frame.time -e frame.len -E header = y -E separator =,-E quote = d -E occurrence = f -R"(ip.src == 192.168.1.20)&&(ip.dst == 20.1.168.192)"
在" -R"之后不引用表达式导致打印字段和评估表达式。如果表达式结果为TRUE,则识别过滤器并给出结果。否则,过滤器(例如ip.src)将被系统评估为命令,导致"命令无法识别"