我有一个pcap文件,其中包含一些http media.type(pdf)。我可以从wirehark gui导出媒体类型。
我试过了
tshark -r run.pcap -T fields -e media.type > sample.raw
但没有结果。
请帮助我找出问题所在。
答案 0 :(得分:0)
对于HTTP,内容类型字段的名称为http.content_type,而不是media.type。试试
tshark -r run.pcap -T fields -e http.content_type > sample.raw