問題タブ [tshark]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
bash - 接続時間の計算処理時間
各接続の所要時間を抽出するために、bash Linux で次のコードを使用しています。
ただし、処理時間は非常に長くなります (100 pcaps で 1 分)。処理時間を改善する方法はありますか?
linux - tsharkで設定を適用して上書きする方法は?
私はwireshark-1.9.2用のプラグインを書いています。サーバーに GUI がないため、tshark を使用します。私の質問は、tshark で新しい設定を追加して適用する方法です。
$HOME/.wireshark/preferences ファイルには次の 1 行しか含まれていません。
tshark を実行すると、次の警告が表示されます。
function を使用して、ディセクタ コードの設定の値にアクセスできますprefs_register_uint_preference(...)。-oしかし、 tshark を開始するときにオプションでそれをオーバーライドすることはできません。
したがって、2 つの質問は次のとおりです。
- 設定ファイルを tshark に適用して、構文エラーの警告が再度表示されないようにするにはどうすればよいですか?
-otsharkのオプションを使用して設定値を上書きするにはどうすればよいですか?
ありがとう。
linux - tshark の pcap からの平文出力 (wireshark のオプションを使用?)
すべての pcap ファイルを、wireshark のようなプレーンテキスト バージョンにエクスポートできるスクリプトを実行しようとしています。
私の問題は、パケットの概要行、パケットの詳細を展開、パケットのバイト数、およびパケット形式オプションの下の新しいページに各パケットを配置する必要があることです。パケットの要約行はデフォルトでオンになっていると思います。パケットの詳細は、-V フラグを使用して「表示されているとおり」です。
これは私が使ってきたmanページです。
私はコマンドを使用しました:
任意の支援をいただければ幸いです。
tcp - [TCP ACKed 見えないセグメント] [TCP 前のセグメントがキャプチャされていない] を理解する
サーバーでいくつかの負荷テストを行っており、tshark を使用して一部のデータを pcap ファイルにキャプチャし、wireshark GUI を使用して分析に移動し、表示されているエラーまたは警告を確認しています -> pcap をロードしたエキスパート情報..
よくわからないことや、まだ完全には理解できていないことがいろいろ見えてきます..
警告の下に: TCP の 779 警告: キャプチャされなかった ACKed セグメント (キャプチャ開始時に共通) 446 TCP: 前のセグメントがキャプチャされません (キャプチャ開始時に共通)
例: 40292 0.000 xxx xxx TCP 90 [TCP ACKed unseen segment] [TCP 前のセグメントがキャプチャされていない] 11210 > 37586 [PSH, ACK] Seq=3812 Ack=28611 Win=768 Len=24 TSval=199317872 TSecr=4506547
また、データのコマンド ライン列を作成する便利なコマンドを使用して、pcap ファイルを実行しました。
指図
基本的に、tcp.analysis.lost_segment 列にいくつかのものを見ただけですが、多くはありません..\
誰が何が起こっているのかを教えてくれますか? tshark がデータの書き込みについていけない、その他の問題はありますか? 偽陽性?
wireshark - カスタム tshark 表示フィルターでのプロトコル名の解決
tshark の標準ヘッダー出力を解析したいと考えています。デフォルトでは機能しないため、ほとんど同じことを行うカスタム フィールド パーサーを使用しています。私が見逃しているのは、プロトコルの名前の解決です。私のコマンドは次のとおりです。
これはほとんど機能します。私が得たものは次のとおりです(この例では2つのpingをキャプチャしています):
同じ 2 つの ping は、カスタム フィールドがない通常の tshark では次のようになります。
私が解決する必要がある主な違いは、私が84プロトコルを取得するのに対し、tshark は を出力することICMP 98です。独自のルックアップ テーブルを実装することもできますが、多数のプロトコルがあり、tshark はそれらをデコードする方法を既に知っています。解析でそれを取得する方法を理解する必要があるだけです。
linux - Tshark : 子プロセスが異常終了しました
次のコマンドを実行すると、Tsharkキャプチャに対応する値があるにもかかわらず、次のエラーが発生します。
誰でも私を助けてもらえますか?
これがパケットです(ICMPv6部分のみ)
ICMPv6 オプション (プレフィックス情報: 2001:abcd:2:ffff::/64)
タイプ: プレフィックス情報 (3)
長さ: 4 (32 バイト)
プレフィックス長: 64
wireshark - tshark 時刻を ISO 形式 (yyyy-dd-mm) にフォーマットするにはどうすればよいですか?
HTTP トラフィックを含む PCAP からさまざまなフィールドを出力しようとしています。列の 1 つは、ISO 8601 形式 (YYYY-MM-DD hhmmss) のタイムスタンプである必要があります。
また、誰かが -e で動作するフィールドの完全なリストを持っているなら、それは素晴らしいことです (例: ip.src、frame.time など)。
例として、いくつかの角度から始めています。