tshark并不总是打印源ip
问题描述:
如何获得tshark的数据包的tcp负载,并且还获取发送这些数据包的源IP?tshark并不总是打印源ip
该命令适用于大多数的数据包,但一些数据包仍然会打印不带源IP(为什么?):
tshark -Y "tcp.dstport == 80" -T fields -d tcp.port==80,echo -e echo.data -e ip.src
*为了测试我的命令,运行它,然后浏览到http://stackoverflow.com。请注意,通常数据块(“47:45:54:20:2f:61:64:73:...”)后面有一个IP,但并非总是如此。
答
我发现问题: 缺少源IP的数据包是IPv6,但我的原始命令仅打印IPv4。
这工作:
tshark -Y "tcp.dstport == 80" -T fields -d tcp.port==80,echo -e echo.data -e ip.src -e ipv6.src