使用tshark时,我想捕获包含特定字符串的数据包。
执行tshark后,我希望它在收到包含特定字符串的数据包并立即返回时立即停止接收数据包。
我应该使用哪些参数来执行此操作?
答案 0 :(得分:0)
我认为你正在寻找像trigcap这样的东西,这是Wireshark项目的一部分,但目前还没有发布,因为它显然不适用于Windows,可能在其他平台上有问题现在也是因为它在相当长的一段时间里没有看到任何积极的发展。
您可以尝试自行编译,看它是否符合您的需求。阅读更多相关信息:
如果您使用的是Windows,则可能需要查看Wireshark wiki dumpcap.bat页面上发布的Tools文件。
所有这些解决方案都依赖于BPF(pcap-filters),因此您需要以某种方式将所需的字符串作为停止条件操作到该格式,这可能并不容易。