tshark: sadece belirli paketleri parçala

Şu anda bir ağ yakalama dosyasını okumak için bunu yapıyorum:

tshark -r myfile icmp

Yalnızca IP üstüne bir protokol olan ICMP paketlerini yazdırır (UDP veya TCP değil).

Ancak myfileçok fazla HTTP trafiği olan büyük bir dosyadır. tsharkBu dosyanın işlenmesinin uzun zaman aldığını ve bunun sebebinin kısmen tüm TCP paketlerini tamamen işlediğinden, hatta HTTP verilerini aştığını buldum . Bunu farkettim çünkü HTTP diseksiyonu ile ilgili hata mesajları basıyor.

İstediğim ICMP paketlerinin hiçbir zaman TCP içinde olmadığını bildiğim için şunu denedim:

tshark -r myfile 'not tcp and icmp'
tshark -r myfile -2 -R 'not tcp' icmp

Ancak tshark hala HTTP paketlerini parçalamaktadır (bunu yine de biliyorum çünkü HTTP dissector hata mesajlarını görüyorum).

Daha düşük seviyeli bir protokol uyuşmadığında daha yüksek seviyeli protokolleri kesmeden zamandan tasarruf etmek (ve disektördeki hatalardan kaynaklanan çökmelerden kaçınmak) istiyorum.

Yakalama dosyalarımı protokole göre bölebileceğimin farkındayım, ancak bu tam olarak değil çünkü bakmak istediğim şeyler önceden bilinmemektedir.

Ayrıca -O, belirli disektörleri etkinleştirme seçeneğini de denedim , ancak bu tsharkher paket için tam çok satırlı ayrıntıları yazdırıyor, bu da istediğim şey değil.

tsharkDiseksiyon paketlerini belirli alt seviye protokollerden atlamayı nasıl yapabilirim ?

Tshark 1.10.6 kullanıyorum, ancak gerekirse daha yeni sürümleri de kullanabilirim.

Sözdiziminiz doğru değil. Wireshark ekran filtresi sözdizimini ve pcap filtresi yakalama filtresi sözdizimini karıştırıyormuşsunuz gibi görünüyor .

Tshark'ın en son kararlı sürümüyle (şu anda 2.4.0), -Yseçenekle kullanmak için bir ekran filtresi belirleyebilirsiniz . Örneğin:

tshark -r myfile -Y "icmp"

Bu -Yseçenek sürüm 1.10.6 ile de mevcuttu.

Alternatif olarak, aşağıdaki gibi bir okuma filtresi kullanabilirsiniz , ancak genellikle yukarıdaki ekran filtresi yöntemine yapıyorum:

tshark -r myfile -2R "icmp"