私はパケットからいくつかのフィールドを取得しようとしています。例えば、宛先ip = ip.dstですが、ソースと宛先ポートのIDがわかりません。私が見たことから、それらはudp = udp.destportのプロトコル特有のようですが、以下のプロトコルに関係なくポートを拾う方法があるかどうかを知りたいのですが、私が試したことの例です。プロトコルのtshark regurdlessとソースと宛先ポートを取得する方法
-n -T fields -E separator=, -e frame.time -e ip.src -e ip.dst -e ip.proto -e tcp.port -e ip.len -e tcp.flags.push'
---祝福。
フィールドが何であるかを知る最も簡単な方法は、興味のあるフィールドが含まれていることがわかっているWiresharkでキャプチャファイルを開き、パケットの詳細を展開して興味のあるフィールドを見つけるまでです最後にフィールドを選択します。フィールド名は、下部のステータスバーに表示されます。
オンラインのWireshark Display Filter Referenceを使用してフィールドを検索することもできます。
これらのポートはプロトコルごとに一意です。したがって、TCP送信元ポートと宛先ポートを表示する場合は、具体的にはtcp.srcportとtcp.dstportをフィルタリングする必要があります。また、UDP送信元ポートと宛先ポートを表示するには、 udp.srcportとudp.dstportを具体的にフィルタリングする必要があります。
UDPトラフィックの空白UDPポート列またはUDPトラフィックの空白TCPポート列を回避するには、コマンドを2回実行してTCPトラフィックのみにフォーカスを当て、次にUDPトラフィックのみにフォーカスを設定します。たとえば:
TCP:
tshark -Y "tcp" -T fields -e tcp.srcport -e tcp.dstport
はUDP:
tshark -Y "udp" -T fields -e udp.srcport -e udp.dstport
(私は私が説明しようとしていたオプションだけに集中するために、他のすべてのtsharkオプションを省略しました。)
すべてのプロトコルにポートがあるわけではありません。 TCPとUDPアドレスはポートと呼ばれますが、他のレイヤー4プロトコルもあり、多くはポートを使用しません。 IPv4やIPv6などのレイヤ3プロトコルはポートを使用せず、IPアドレスを持っています。 –