tshark並不總是打印源ip

-1

如何獲得tshark的數據包的tcp負載，並且還獲取發送這些數據包的源IP？tshark並不總是打印源ip

該命令適用於大多數的數據包，但一些數據包仍然會打印不帶源IP（爲什麼？）：

tshark -Y "tcp.dstport == 80" -T fields -d tcp.port==80,echo -e echo.data -e ip.src

*爲了測試我的命令，運行它，然後瀏覽到http://stackoverflow.com。請注意，通常數據塊（「47：45：54：20：2f：61：64：73：...」）後面有一個IP，但並非總是如此。

2016-03-02 Hibuki

我發現問題：缺少源IP的數據包是IPv6，但我的原始命令僅打印IPv4。

這工作：

tshark -Y "tcp.dstport == 80" -T fields -d tcp.port==80,echo -e echo.data -e ip.src -e ipv6.src

2016-03-03 02:37:11 Hibuki

回答