問題タブ [tshark]

以下の Bash シェル スクリプトを実行すると、29 ～ 34 個のパケットがキャプチャされたと報告されるはずの最後の行で、4 ～ 9 個のパケットがキャプチャされたと報告され、「tshark: "RESULTS/C6-1/C6-1n10.pcap" が表示されます」と表示されます。パケットの途中で短くカットされた.」

このスクリプトの最後の行に埋め込まれた tshark コマンドを、スクリプトの終了後にコマンド ラインから実行すると、カウントは正しくなります。

私は何を間違っていますか？

次のような方法で、CLI から tshark を使用してトラフィックをキャプチャしようとしています。

このコマンドを実行すると、tshark がパケット数に関する情報を提供し、パケット情報をファイル「Outputfile.pcap」に保存するため、プロンプトは返されません。私が望むのは、可能であればプロンプトを元に戻すことです。そのため、リモートサーバーで別のターミナルを開くことなく、より多くのコマンドを実行できました。最後に「&」を使用してプロセスをバックグラウンドで実行しようとしましたが、コマンドプロンプトは返されますが、入力しているコマンドがパケットカウントによって上書きされ続け、何も表示されません:(

この問題を解決する方法を知っている人はいますか?

tshark を使用して pacap ファイルからデコードされていない部分を取得しようとしていますが、デコードできる部分のみが表示され、残りのペイロードが欠落しています。残りの部分を取得する方法はありますか? 以下のようにログインします。ESP SPI および ESP シーケンス「00 00 00 00 01 00 00 00 03」の後にある ESP ペイロードを取得する必要があります。

次のコマンドがあります。

何らかの理由で ICMP メッセージが出力されます。

tshark に tcp パケットのみを出力するように指示するにはどうすればよいですか?

私が考えているのは grep だけgrep "TCP"です。しかし、それは良い解決策ではありません。

以前、「TCP フロー数をカウントするための Wireshark ディセクタの記述」というタイトルの質問を投稿しました。代わりに Lua/Tap を使用するようにとのフィードバックを得たので、Lua/Tap を書き始めましたが、コードに関する支援が必要です。私は現在、タップに必要な次の関数を持っています: Listener.new、listener.packet、listener.draw、listener.reset。

私がやりたいことをよりよく理解するには、ここで私の以前の質問を確認してください。

TCP フローの数をカウントするための Wireshark ディセクタの作成

私の新しい質問は、tshark のコマンドと同等のことを行うコードを書く必要があるかということです。

Lua/Tap で、最初に統計情報を抽出してから、TCP フローをカウントするコードを記述しますか? または、Lua/Tap でコードを記述して TCP フロー カウントを抽出するだけです。どちらの場合でも、誰かがコードを手伝ってくれますか? Web を検索しましたが、探しているものに近い例が見つからないため、達成しようとしていることに合わせてカスタマイズできます。ありがとう。

Wireshark でパケットを盗聴しました。そこに「プロトコル」が表示されます (例: TLSv1.2)。しかし、この情報を保存すると、tshark で変換しても、これは表示されなくなります。「ssl」や「https」などの文字列を検索できますが、プロトコルがなくなりました。何か案は？

tshark の出力を拡張しようとしています。最初のラウンドでは、単純な解決策を見つけられませんでした.-eオプションでフィールドを抽出できるということだけなので、次のコマンドが出力されます

• フレーム番号
• キャプチャ開始からの時間
• ソース IP アドレス
• 宛先 IP アドレス
• http リクエスト uri
• デフォルトの出力に追加したい http コンテンツの長さ。

tshark -T フィールド -e frame.number -e frame.time_relative -e ip.src -e ip.dst http.request.uri -e http.content_length

私の問題は、デフォルトの出力フィールド名またはそれらを残して目的のフィールドを追加するオプションが見つからないことです。

必須ではありませんが、知っておくと便利です:)

Linux プラットフォームで tshark (TShark 1.6.6) を使用して SNMP トラップの問題をデバッグしています。(ターゲット プラットフォームは、wireshark GUI をサポートしていません。) に MIB がインストールされているにもかかわらず、PDU の OID は数値形式で表示され/usr/share/snmp/mibsます/usr/local/share/mibs。やってみ-Vました。一部のメモリ デバッグ オプションを除いて、tshark の詳細またはデバッグ オプションはないようです。マニュアル ページを確認しましたが、SNMP または MIB に関する情報は見つかりませんでした。試しstraceてみたところ、ファイル/usr/share/wireshark/oidfile が見つかりましたが、そこに MIB ディレクトリを配置するとflexエラーが発生し、この不思議なファイルの意味を Google 検索しても何も見つかりません。OID をコピーしてsnmptranslateコマンドに貼り付けると、正しく変換されます。とで~/.wiresharkディレクトリを作成してみましたsmi_modulessmi_paths( "/usr/share/snmp/mibs")。tshark -G currentprefs関連する設定があるかどうかを確認しましたが、ありません。私はこの問題をグーグルで調べましたが、あまりにも多くのチャフを取得して進歩を遂げることができません. unix.stackexchange.com、superuser.com、およびこのサイトを確認しました。私は、人々がこのサイト (10,000 件) で Wireshark の質問をして、話題になっていることを確認したことを確認しました。

呼び出しの例:

の内容~/.wireshark/preferences:

sysUpTimeInstanceOID をシンボリック形式で表示するにはどうすればよいsnmpTrapOID.0ですか?