【发布时间】:2012-05-16 10:54:06
【问题描述】:
在满足一定条件后,我需要停止 tshark(wireshark 的命令行 equi)。
从 tshark 手册页中,我发现可以针对持续时间、文件、文件大小和多文件模式应用停止条件。
我可以通过捕获过滤器应用任何停止条件,以便 tshark 停止捕获。
例如:从特定端口号(捕获过滤器中应用的条件)接收到 TCP SYN 数据包后,tshark 停止捕获。
请回答这个谜题。
【问题讨论】:
标签: tshark
【发布时间】:2012-05-16 10:54:06
【问题描述】:
您可以将输出传送到 head 并选择与您的查询匹配的第一帧,但您还需要禁用输出缓冲(stdbuf 是 coreutils 的一部分)
例如(Linux)
stdbuf -i0 -o0 -e0 tshark -r file.pcap -Y 'sctp.verification_tag == 0x2552' | head -1
苹果机:
gstdbuf -i0 -o0 -e0 tshark -r file.pcap -Y 'tcp.flags.syn == 1 && tcp.port == 80' | head -1
【讨论】: