在上一篇文章 wireshark自带命令行工具tshark的使用方法 一文中,着重介绍了tshark的抓包方面的参数。本节将通过一个具体的例子简单聊一下tshark命令在处理报文数据方面的参数,作为我的专栏《wireshark从入门到精通》中的一篇。
关于数据处理方面的参数包括Processing和Output两个部分,Processing部分在上一小节就已经介绍了,output中的参数如图1:
图1
可以看到参数是非常的多,该部分参数作用是过滤输出报文的指定字段和内容,有的并不常用,简单介绍几个我经常使用的参数。
- -w 参数即输出的文件名,针对的是raw类型的数据(协议数据)。如果是其他类型的数据,则通过重定向符>输出到文件。
- -F表示输出数据包的格式,默认为pcapng格式文件,着和前面介绍的dumpcap命令参数是一致的。
- -T表示文本输出格式。
- -e表示具体的field,具体的field可以在GUI界面右上角中表达式查看,经常和-T一起使用输出具体的属性字段的值。
- -X回在后续的lua脚本中频繁的使用,主要是加载lua脚本。
- -q 如果输出