【发布时间】:2015-03-02 02:18:40
【问题描述】:
我正在尝试这样做:在 tshark 中将 Wireshark 过滤器设置为“http contains site.do”。我不确定如何仅使用命令行版本来执行此操作。我该怎么做?
【问题讨论】:
【发布时间】:2015-03-02 02:18:40
【问题描述】:
试试
tshark -Y "http contains site.do"
【讨论】:
-
所以它说“捕获和保存捕获的数据包时不支持显示过滤器。”据我了解,这意味着我必须在收集它们之后过滤它们。我应该怎么做(结果将进入一个 .pcap 文件),我用 sudo tcpdump -qns 0 -X -r file.pcap 显示我使用命令行的原因是wireshark需要X11,并且优胜美地没有X11,据我了解也不支持
-
tshark -r{您的捕获文件}-w{输出文件} `-Y "http contains site.do" -
Yosemite 没有发布 X11,但它确实支持它。从MacOSForge 安装 XQuartz。
-
或者,如果您愿意使用尚未完成所有功能且 GUI 有所不同的 alpha 质量软件,请尝试开发版本,该版本 不需要 X11。
这是因为显示过滤器与捕获过滤器不同。例如,您可以这样做以节省一台主机的 http 流量。
tshark -f "host www.site.do and (port 80 or port 443)" -w example.pcap
您可以获取有关捕获过滤器的更多信息here
【讨论】:
-
tshark:用于接口“Wi-Fi”的捕获过滤器“主机 www.test.do”无效!该字符串不是有效的捕获过滤器(未知主机“test.do”)。
-
我做到了,它按预期工作。您可以使用参数 -i
添加接口