Виды фильтров в tshark
Виды фильтров
- display - что отображать из того что наловлено
- capture - что ловить
- output - что отображать из того что решили отображать
Иными словами:
tshark -n -i eth1 tcp -R "tcp.flags.push==1"
здесь имеем два фильтра. capture - tcp
и display - -R tcp.flags.push==1
output можно использовать следующим образом:
tshark -n -i eth1 tcp -R "tcp.flags.push==1" -Tfields -e tcp.request.method
он позволяет сформировать формат вывода, почти как printf
.
Примеры
Распределение длин tcp-заголовков HTTPS-запросов на 1000 пакетов.
tshark -n -i any -c 1000 tcp dst port 443 -T fields -e tcp.hdr_len | sort | uniq -c | sort -nk1
Найти свой Client Hello
ip=1.2.3.4
host=kek.com
tshark -n -V -c 100 -i eth1 -f "src host $ip and tcp dst port 443" -R "tcp contains $host"