4
我分析一个非常大的PCAP持有许多HTTP交易,其中一些感兴趣的我。我使用的是带有Lua脚本的tshark
,主要用于查询与过滤器匹配的所有数据包。如何获取侦听器的TCP流号?
tshark -X lua_script:filter.lua -r some.pcap -q
到目前为止好。但是,我正在专门查找Wireshark中名称为tcp.stream
的数据包的TCP流号的值。任何人都可以说我需要对filter.lua
进行哪些更改才能打印出来?
-- filter.lua
do
local function init_listener()
local tap = Listener.new("http","http contains someKeyValue && tcp.port eq 1234")
function tap.reset()
end
function tap.packet(pinfo,tvb,ip)
print("Found my packet ... now what?")
end
function tap.draw()
end
end
init_listener()
end
什么pinfo
,tvb
和ip
是是unforthcoming的文档。