我有一个自定义协议,运行在端口8888(不,它不是http)和TCP之上.我已经将数据包流捕获到PCAP文件中.问题是,现在我无法只显示它的数据部分.

我尝试过以下命令：

tshark -r test.pcap -R 'tcp.port==8888 && tcp.len>0' -T fields -e "tcp.data"

但它显示一个空字符串. tcp.data字段不是保存TCP数据包的数据吗？

如何仅显示我需要的数据？

解决方法:

Wireshark中有“分析/跟踪TCP流”功能.

只需从数据包列表中选择TCP数据包,然后“关注TCP流”….并且Wireshark显示所选连接的TCP会话.

编辑：

tcp.data不存在.请改用data.data：

tshark -r mon.pcap -R "(tcp.port == 8888) && (tcp.len > 0)" -T  fields -e data.data

如果wireshark知道使用端口的协议(8888),那么前一个将不起作用.
但以下技巧有效：

tshark -r mon.pcap -R "(tcp.port == 8888) && (tcp.len > 0)" -T  fields -d tcp.port==8888,echo -e echo.data