你好,我想从特定的ip地址获取dns或http或http2流量,并将其保存到文件中。我试过这个:
tshark -i xxx -w capture-output.pcap -T fields -e ip.src -Y "ip.src == 192.168.178.xxx and (dns or http or http2)"
我收到以下错误:tshark:捕获和保存捕获的数据包时不支持显示筛选器。
有人能帮我吗?
该错误为您提供了所需的信息-在保存数据包捕获时不能使用显示筛选器。这里有两个选项:
选项1:保存捕获,然后使用显示过滤器
这看起来像
# Write the initial file with incoming packets
$ tshark -i xxx -w capture-output.pcap
# Filter out the traffic we don't want
$ tshark -r capture-output.pcap -w filtered-output.pcap
-T fields -e ip.src -Y "ip.src == 192.168.178.xxx and (dns or http or http2)"
选项2:使用捕获过滤器
请改用捕获筛选器。捕获筛选器使用与显示筛选器不同的特殊语法。
在显示过滤器中,您想要使用的等效捕获过滤器是
$ tshark -w filtered.pcap -f "src net 192.168.178.0/24 and (udp port 53 or tcp port 80 or tcp port 443)"