tsharkインターフェイスまたはpcapファイルからデータをインポートします。インターフェースからデータを読み取るときは、ユーザーは-f(ベースpcap-filter(7))を使用してフィルターを作成し、ファイルから読み取るときは-Y(ベース)を使用してwireshark-filter(4)フィルターを作成する必要があります。
私のシナリオ:
pcapファイルを読む必要があるため、wireshark-filter構文を使用する必要があります。
送信元アドレス、宛先アドレス、送信元ポート、宛先ポートがあります。ただし、セッションの種類(TCPまたはUDP)がわかりません。ポートの場合、Wireshark構文には次のオプションがあります。
tcp.dstport
tcp.srcport
udp.dstport
udp.srcport
tcp.port
udp.port
私のパケットがTCPなのかUDPなのかわかりません。 dstポートとsrcポートに基づいてフィルタを作成する必要があります。
tsharkとを使用してこれを達成するには-Y?
ベストアンサー1
あなたはできますディスプレイフィルタの構築(-Y オプション)or論理演算子を使用して UDP および TCP パケットを計算します。
たとえば、
udp.srcport=8899 or tcp.srcport=8899 or udp.dstport==7788 or tcp.dstport==7788