Как получить порт источника и назначения с tshark regurdless протокола

Question

Я пытаюсь получить некоторые поля из пакета, например, адресата ip = ip.dst, однако я не уверен, что такое идентификатор для портов источника и назначения. из того, что я видел, они кажутся специфичными для протокола, что для udp = udp.destport, однако я хотел бы знать, есть ли способ поднять порты, независимо от того, какой протокол приведен ниже, пример того, что я пробовал.

-n -T fields -E separator=, -e frame.time -e ip.src -e ip.dst -e ip.proto -e tcp.port -e ip.len -e tcp.flags.push'

--- Благословения.

Answer 1

Возможно, самый простой способ узнать, что называется полем, - открыть файл захвата в Wireshark, который, как вы знаете, содержит интересующее поле, затем развернуть сведения о пакете, пока не найдете интересующее вас поле, и наконец, выберите поле. Имя поля будет отображаться для вас в строке состояния внизу.

Вы также можете искать поля, используя онлайн-Wireshark Display Filter Reference.

Что касается портов, то они уникальны для каждого протокола, поэтому, если вы хотите видеть исходные и конечные порты TCP, вам необходимо будет специально фильтровать для tcp.srcport и tcp.dstport, и если вы хотите видеть исходный и конечный порты UDP, тогда вам придется специально фильтровать для udp.srcport и udp.dstport.

Чтобы избежать пустых столбцов порта UDP для трафика TCP или пустых столбцов TCP-порта для трафика UDP, вы можете дважды запустить команду, чтобы сначала сосредоточиться только на трафике TCP, а затем только на трафике UDP. Например:

TCP:

tshark -Y "tcp" -T fields -e tcp.srcport -e tcp.dstport 

UDP:

tshark -Y "udp" -T fields -e udp.srcport -e udp.dstport 

(я опустил все другие tshark варианты, чтобы сосредоточиться на только варианты, которые я пытался проиллюстрировать.)