出于某些研究原因,我需要获取http包的tcp序列号。我已经有了pcap文件,那么我应该如何使用tshark?
非常感谢您回答我的问题!!!
答案 0 :(得分:3)
这样的事情应该这样做:
tshark -r your_file -R http -T fields -e tcp.seq
序列号是相对的或绝对的,由.wireshark / preferences控制。默认情况下它是相对的(所以你会看到小数字)。如果您需要绝对序列号,请修改preferences
:
tcp.relative_sequence_numbers: FALSE
答案 1 :(得分:-1)
使用tshark,
从此页面应用correspoding tcp过滤器(tcp.nxtseq)检查更多内容 https://www.wireshark.org/docs/dfref/t/tcp.html
C:\Program Files\Wireshark>tshark -r C:<path to pcap>sample.pcap -T fields -e ip.src -e ip.dst -e ip.proto -e tcp.srcport -e tcp.dstport -e tcp.flags.ack -e tcp.flags.cwr -e tcp.flags.ecn -e tcp.flags.fin -e tcp.flags.ns -e tcp.flags.push -e tcp.flags.res -e tcp.flags.reset -e tcp.flags.syn -e tcp.flags.urg > C:/20Oct.txt