tshark - 帮助查找 tshark 1.6.7 字段名称

Question

尝试将 pcap 转换为 txt 并显示特定字段。

在 thsark 1.12.4 上可以使用：

tshark -nr "input_file.pcap" -E header=y -e frame.number -e frame.time -e ip.src -e ip.dst -e _ws.col.Protocol -e _ws.col.Info -e 数据 -T fields -V "tcp or udp" > "output_file.txt"

遗憾的是，在 tshark 1.6.7（这是一种修正）上，protocol 和 info cols 没有显示。

我已经尝试了所有可以在网上找到的组合：_ws.col.Info、_ws.col.info、col.Info、col.info、Info、info。

找不到其他东西。

有什么建议可以让这些列显示在输出的 txt 文件中吗？

最好。

Answer 1

有什么建议可以让这些列显示在输出的 txt 文件中吗？

与负责强制执行 1.6.7 的人员交谈，说服他们不强制执行，然后升级到更新版本的 Wireshark。该功能 - 显示带有 -T fields 的列的能力 - 在 1.6.x 中存在；正如the Bugzilla entry for the enhancement request for it 所指出的，它是后来在 1.10 版本中添加的。