tshark中的多個過濾器

Question

tshark中的篩選器-Y，-2和-R在Wireshark版本2.XX中混淆。

在1.8版本中，我們能夠應用多個過濾器，並使用下面的命令保存在CSV文件中的數據包過濾：

tshark.exe -r src.pcap -T fields -e frame.number -e frame.time -e frame.len -e ip.src -e ip.dst -e udp.srcport -e udp.dstport -E header=y -E separator=, -E quote=d -E occurrence=f -R (ip.src==x.x.x.x)&&(ip.dst==y.y.y.y) > filtered.csv 

但此命令不會在版本2.x協同工作。如果有人在新的Wireshark版本中應用多重過濾器，請提供幫助。

Answer 1

你應該能夠通過用-Y "(ip.src==x.x.x.x)&&(ip.dst==y.y.y.y)"代替-R (ip.src==x.x.x.x)&&(ip.dst==y.y.y.y)來達到你想要的效果。

Answer 2

在Windows 7上，我有這個使用Wireshark 2.2.1工作，增加-2和報價跟隨-R選項字符串，如：

tshark.exe -r mypcap.pcapng -T領域 - 2 -e frame.number -e frame.time -e frame.len -E header = y -E separator =，-E quote = d -E occurrence = f -R「（ip.src == 192.168.1.20）& &（ip.dst == 20.1.168.192）「

在」-R「後面不引用表達式會導致打印字段和評估表達式。如果表達式結果爲TRUE，則會識別過濾器並給出結果。否則，過濾器（例如ip.src）將被系統評估爲命令，導致「命令未被識別」