我試了很多,在.cap file with Tshark列出ip conversations。我可以*wireshark -> statistics -> conversations -> "ipv4" lable*很容易地做到這一點,所以我想它也很容易與tshark的這樣做:似乎有一個與Tshark的-z conv的錯誤,IP
tshark -n -r "d:\test\test.cap" -z conv,ip,"ip.len>50" -t ad
,但所有的消息打印完成後,tshark crashed : Tshark has stopped working.
真的是有與tshark的一個錯誤? ...還是和我一起?
我找到了一些東西!問題是,我使用-t ad表達:
廣告絕對與日期:絕對日期,顯示爲YYYY-MM-DD,和時間,本地時間在你的時區,則實際時間和日期 分組被捕捉
當我改變到-t r表達:
ř相對:該RELAT IVE時間爲第一 包和當前包
tshark的不會崩潰之間的時間間隔,以及ralative時間是負數,比如「-6063.000000」!
所以我猜-t ad是罪魁禍首。但是,當我使用-z conv,tcp,[filter]時,Tshark不會崩潰。
!!!!!!! -z conv,ip,[filter] + -t ad + negative number time = BUG ?? !!
您可以使用選項-q:
讀取捕獲文件時,或者在捕獲文件時而不保存到文件時,不要打印包信息;如果您使用-z選項來計算統計數據並且不希望打印數據包信息,那麼這很有用。
tshark的-r test2905a.pcap -q -z CONV,IP, 「ip.len> 50」
更多信息,請參見man-page。
我已經試過你的解決方案,但是錯誤仍然存在,無論'-q'出現與否。 –
你說得對。一個小文件似乎工作,但這是輸出:tshark -r test2905a.pcap -z conv,ip,「ip.len> 50」-t廣告 20.34.40.25 <-> 10.110.1.10 97 8076 97 17433 194 25509 1970 -01-01 01:00:00 2,3083 10.110.1.10 <-> 10.34.136.136 11 5453 9 2271 20 7724 1970-01-01 01:00:00 4,8492。 – joke
你使用哪個版本? TShark不會崩潰,當我使用最新版本時: tshark -v TShark 1.12.7(v1.12.7-0-g7fc8978 from master-1.12)。 您可以下載最新版本[這裏](https://www.wireshark.org/download.html)。 BTW: TShark確實崩潰,當我使用舊版本時: tshark -v TShark 1.10.3(SVN Rev 53022 from/trunk-1。10) – joke
我使用最新版本:'wireshark -v' - >'wireshark 1.12.7(v1.12.7-0-g7fc8978 from master-1.12)''。重新安裝後,我的Tshark繼續崩潰。 –
我做了更多的測試。它只適用於一個很小的(100KB)示例文件...當使用-t廣告選項時,TShark 1.12.7也會在3MB文件上崩潰。 順便說一句你爲什麼使用這個選項? – joke