如何用tshark提取所有http请求tcp序列号?

时间:2011-07-17 07:35:00

标签: tcp wireshark pcap tshark

出于某些研究原因,我需要获取http包的tcp序列号。我已经有了pcap文件,那么我应该如何使用tshark?

非常感谢您回答我的问题!!!

2 个答案:

答案 0 :(得分:3)

这样的事情应该这样做:

tshark -r your_file -R http -T fields -e tcp.seq

序列号是相对的或绝对的,由.wireshark / preferences控制。默认情况下它是相对的(所以你会看到小数字)。如果您需要绝对序列号,请修改preferences

tcp.relative_sequence_numbers: FALSE

答案 1 :(得分:-1)

使用tshark,

从此页面应用correspoding tcp过滤器(tcp.nxtseq)检查更多内容 https://www.wireshark.org/docs/dfref/t/tcp.html

C:\Program Files\Wireshark>tshark -r C:<path to pcap>sample.pcap -T fields -e ip.src -e ip.dst -e ip.proto -e tcp.srcport -e tcp.dstport -e tcp.flags.ack -e tcp.flags.cwr -e tcp.flags.ecn -e tcp.flags.fin -e tcp.flags.ns -e tcp.flags.push -e tcp.flags.res -e tcp.flags.reset -e tcp.flags.syn -e tcp.flags.urg > C:/20Oct.txt