tshark 只抓取sip包命令
时间: 2023-06-30 13:20:17 浏览: 70
可以使用以下命令抓取 SIP 包:
```
tshark -i <interface> -f "port 5060" -T fields -e sip.method -e sip.request.uri.host -e sip.from.uri.user -e sip.to.uri.user -e sip.call-id -e sip.cseq -e sip.user-agent -e sip.contact.uri.user -e sip.content-type -e sip.content-length
```
其中,`<interface>` 指的是需要抓取的网络接口,例如 `eth0`。该命令将抓取端口号为 5060 的 SIP 包,并输出一些 SIP 协议头部字段的值,例如请求方法、请求 URI、From URI、To URI、Call-ID、CSeq、User-Agent、Contact URI、Content-Type 和 Content-Length 等。你可以根据需要自定义输出的字段。
相关问题
tshark抓取字符
引用\[1\]:tshark是一种命令行工具,相当于是wireshark的命令行版本。它可以用于抓取网络数据包并进行分析。你可以使用tshark命令来捕获特定的字符。引用\[2\]:在使用tshark之前,你需要先安装wireshark,因为tshark是wireshark的一部分。安装wireshark后,tshark会自动安装在你的系统中。你可以将tshark添加到环境变量中,以便在任何位置都可以使用它。引用\[3\]:使用tshark抓取字符的思路是通过endpoints选项来查看wireshark中的统计信息。你可以使用以下命令来提取数据包中的IP地址:tshark.exe -r pcap文件路径 -z endpoints,ip -q。这个命令会显示数据包中涉及到的所有IP地址。你可以使用正则表达式来提取出IPv4地址。例如,你可以使用re.findall()函数来提取出所有的IPv4地址。然后,你可以对提取出的IP地址进行进一步的处理,比如打印出来。
#### 引用[.reference_title]
- *1* *2* *3* [tshark在流量分析中的绝佳应用(超详细)](https://blog.csdn.net/weixin_44288604/article/details/123807294)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item]
[ .reference_list ]
tshark 拆分大的pacp包
`tshark` 命令可以很方便地拆分大的 pcap 文件,可以使用 `-b` 参数对 pcap 文件进行分割,例如:
```
tshark -r big_capture.pcap -b duration:3600 -b files:10 -w output_capture.pcap
```
其中,`-b duration:3600` 表示将大 pcap 文件拆分为每个文件最大持续时间为 3600 秒(1 小时),`-b files:10` 表示最多拆分成 10 个文件,`-w output_capture.pcap` 表示输出文件名为 `output_capture.pcap`。这样,`tshark` 就会将大 pcap 文件拆分成多个小的 pcap 文件,并按照指定的名称格式命名保存。
如果你想在 Python 中使用 `tshark` 命令拆分大的 pcap 文件,可以使用 `subprocess` 模块来执行命令,例如:
```python
import subprocess
subprocess.run(['tshark', '-r', 'big_capture.pcap', '-b', 'duration:3600', '-b', 'files:10', '-w', 'output_capture.pcap'])
```
这段代码与上面的命令等效,会将大 pcap 文件拆分成多个小的 pcap 文件,并按照指定的名称格式保存。