似乎有一个与Tshark的-z conv的错误,IP
我试了很多,在.cap file with Tshark列出ip conversations。我可以*wireshark -> statistics -> conversations -> "ipv4" lable*很容易地做到这一点,所以我想它也很容易与tshark的这样做:似乎有一个与Tshark的-z conv的错误,IP
tshark -n -r "d:\test\test.cap" -z conv,ip,"ip.len>50" -t ad
,但所有的消息打印完成后,tshark crashed : Tshark has stopped working.
真的是有与tshark的一个错误? ...还是和我一起?
我找到了一些东西!问题是,我使用-t ad表达:
广告绝对与日期:绝对日期,显示为YYYY-MM-DD,和时间,本地时间在你的时区,则实际时间和日期 分组被捕捉
当我改变到-t r表达:
ř相对:该RELAT IVE时间为第一 包和当前包
tshark的不会崩溃之间的时间间隔,以及ralative时间是负数,比如“-6063.000000”!
所以我猜-t ad是罪魁祸首。但是,当我使用-z conv,tcp,[filter]时,Tshark不会崩溃。
!!!!!!! -z conv,ip,[filter] + -t ad + negative number time = BUG ?? !!
您可以使用选项-q:
读取捕获文件时,或者在捕获文件时而不保存到文件时,不要打印包信息;如果您使用-z选项来计算统计数据并且不希望打印数据包信息,那么这很有用。
tshark的-r test2905a.pcap -q -z CONV,IP, “ip.len> 50”
更多信息,请参见man-page。
我已经试过你的解决方案,但是错误仍然存在,无论'-q'出现与否。 –
你说得对。一个小文件似乎工作,但这是输出:tshark -r test2905a.pcap -z conv,ip,“ip.len> 50”-t广告 20.34.40.25 10.110.1.10 97 8076 97 17433 194 25509 1970 -01-01 01:00:00 2,3083 10.110.1.10 10.34.136.136 11 5453 9 2271 20 7724 1970-01-01 01:00:00 4,8492。 – joke
你使用哪个版本? TShark不会崩溃,当我使用最新版本时: tshark -v TShark 1.12.7(v1.12.7-0-g7fc8978 from master-1.12)。 您可以下载最新版本[这里](https://www.wireshark.org/download.html)。 BTW: TShark确实崩溃,当我使用旧版本时: tshark -v TShark 1.10.3(SVN Rev 53022 from/trunk-1。10) – joke
我使用最新版本:'wireshark -v' - >'wireshark 1.12.7(v1.12.7-0-g7fc8978 from master-1.12)''。重新安装后,我的Tshark继续崩溃。 –
我做了更多的测试。它只适用于一个很小的(100KB)示例文件...当使用-t广告选项时,TShark 1.12.7也会在3MB文件上崩溃。 顺便说一句你为什么使用这个选项? – joke