我有一个捕获的跟踪(.pcap(文件,我想读取该跟踪中每个捕获数据包的数据字段。我可以使用以下命令:
tshark-r aa.pcap-Tfields-Y"udp"-e数据
3000ca02f89f0004000115af0000017900.......
该命令读取每个数据包的数据字段中的所有内容。我的问题是,我如何从数据中读取特定的字节(例如,仅第5和第6字节(
f89f
如果系统中有可用的cut,则可以通过管道将tshark输出到它,以隔离所需的字符。例如:
tshark -r aa.pcap -Tfields -Y "udp" -e data | cut -c 9-12
你甚至可以如下测试:
echo 3000ca02f89f0004000115af0000017900 | cut -c 9-12
f89f
编辑:我将偏移量从10-13调整到9-12,因为这似乎是正确的偏移量。如果在echo命令中引用字符,则需要10-13,但这些偏移量不是tshark输出所需的正确偏移量。