Busque una cadena en bytes de paquete de un archivo pcap usando tshark

Busque una cadena en bytes de paquete de un archivo pcap usando tshark

Puedo buscar una cadena en los bytes del paquete de una captura de pcap usando Wireshark. ¿Existe una funcionalidad similar disponible en tshark?

Ya tengo los archivos pcap. Pero necesito revisarlos rápidamente para encontrar las cadenas coincidentes en los bytes del paquete.

Respuesta1

Debería poder encontrar paquetes que contengan cadenas de interés utilizando elcontieneopartidosoperadores, dependiendo de sus necesidades. Por ejemplo:

tshark -r foo.pcap -Y "frame contains foo"

Para obtener más información sobre los filtros de visualización de Wireshark, consulte lafiltro Wireharkpágina de manual.

información relacionada