Como acompanhar os fluxos tcp continuamente ao longo da captura com tshark / wireshark?

Question

Como acompanhar os fluxos tcp continuamente ao longo da captura com tshark / wireshark?

#1 resposta do (1 votos)

1

Eu exibo o fluxo TCP de uma captura já finalizada escrita em out.pcap com

END=$(tshark -r out.pcap -T fields -e tcp.stream | sort -n | tail -1); 
for ((i=0;i<=END;i++));
do 
echo $i; tshark -r out.pcap -qz follow,tcp,ascii,$i 
done

Como posso exibir fluxos TCP recém-terminados dessa maneira ao longo da captura de pacotes?

wireshark tshark

por user207114 25.12.2016 / 09:13

1 resposta

Tags wireshark tshark

O plano de fundo de gradiente horizontal funciona, mas o plano de fundo sólido não funciona? Sincronize duas instalações do Fedora

score 1 · Accepted Answer

Uma sugestão para usar tcpflow .

Se tshark realmente deveria ser usado, uma solução feia seria

REFF=/tmp/.streams
echo "" > $REFF
while true 
do
tshark -r $@ -T fields -e tcp.stream 2> /dev/null | sort -nu | sed '/^$/d' | while read i
do
    if [ -z "$(cat $REFF | grep "^$i$" )" ]
    then
          tshark -r $@ -qz follow,tcp,ascii,$i  | tee ${@}-stream-$i.txt
          echo $i >> $REFF
    fi
done
done