用TShark导出icmp的data数据
时间: 2024-09-25 22:07:44 浏览: 103
tshark ARM版本编译,使用说明
TShark是一款Wireshark网络分析工具的一个命令行界面,它可以捕获网络流量并解析其中的信息。如果你想要从网络抓包中导出ICMP (Internet Control Message Protocol) 的数据,可以按照以下步骤操作:
1. **启动TShark**:
打开终端或命令提示符,然后输入 `tshark` 命令,如果需要指定抓包接口,加上 `-i <interface>` 参数,例如 `-i eth0`。
2. **过滤ICMP数据**:
使用 `-n` 标志忽略DNS查询,然后添加 `icmp` 或 `ip.protocol == icmp` 来过滤只显示ICMP协议的数据。例如:
```
tshark -n -i eth0 "ip.proto == icmp"
```
3. **保存数据**:
选择你需要查看的特定ICMP报文,可以通过 `tcpdump` 或 `wireshark` 中的“Follow”功能。找到后,使用 `-T fields -e <field_name>` 指定输出字段,如源IP、目的IP等。最后,将数据导出到文本文件,加上 `> output.txt`:
```
tcpdump -n -i eth0 "ip.proto == icmp" | tshark -T fields -e ip.src > output.txt
```
4. **检查输出内容**:
导出的 `output.txt` 文件将包含你感兴趣的ICMP数据字段。你可以用文本编辑器打开它查看详细信息。
注意:上述命令可能会因操作系统和版本差异而略有变化。如果你想要获取更详细的ICMP消息结构,如ICMP echo request/reply(ping),则需要查看具体的消息类型(如type和code)。
阅读全文