tshark 刪除亂序、重傳數據包:
tshark -2 -R "not tcp.analysis.retransmission && not tcp.analysis.out_of_order" -r 源文件.pcap -w 目標文件名.pcap'
tshark 獲取tcp流,並保存text格式
tshark -r 源文件.pcap -qz follow,tcp,raw,tcp流的編號
流的編號是0開始的。
其中raw是16進制串表示流的數據:
還可以hex顯示,有數據的偏移:
tshark獲取TCP流,並保存爲pcap文件
tshark -2 -R "tcp.stream eq 0" -r 源文件.pcap -w 目標文件名.pcap
-R “xxx” 裏面的過濾規則其實就是wireshark裏面寫的過濾規則。
tshark獲取UDP流
方法同tcp流的處理方式,只不過把命令裏面的所以“tcp”,改成“udp” 。
tshark獲取所有的tcp流的ID
tshark.exe -r .\1592690823_clear.pcap -Tfields -e tcp.stream
對輸出結果排序,就可以拿到最大的tcp.stream ID了。
tshark獲取所有udp流的ID
方法同tcp流的ID獲取方式,把tcp改成udp就可以。