我正在使用TShark来读取现有的*.pcap和*.pcapng文件。当我使用-z follow,tcp,ascii,33输出TCPStream作为ASCII字符串时(对于流编号33),我看到所有的ASCII数据,但我也看到在数据包之间,ASCII流被分配了该数据包的大小。字节。
因此,TCP流的示例如下。数字在数据包之前的前半部分,然后是在不同模板中找到的剩余数据。
“website.templ
842
tes.output /名称“
假设我正在尝试对此TCPStream中的“模板”进行regex,这种分割会导致正则表达式错过这种“模板”的出现,因为它在两个不同的数据包之间分开。
无论如何将TCPStream导出为没有字节字段的ASCII?
我尝试使用-o标志来更改tcp.track_bytes_in_flight的默认设置,但这仅适用于实时捕获与我正在做的事情,分析静态文件。