4
我分析一個非常大的PCAP持有許多HTTP交易,其中一些感興趣的我。我使用的是帶有Lua腳本的tshark
,主要用於查詢與過濾器匹配的所有數據包。如何獲取偵聽器的TCP流號?
tshark -X lua_script:filter.lua -r some.pcap -q
到目前爲止好。但是,我正在專門查找Wireshark中名稱爲tcp.stream
的數據包的TCP流號的值。任何人都可以說我需要對filter.lua
進行哪些更改才能打印出來?
-- filter.lua
do
local function init_listener()
local tap = Listener.new("http","http contains someKeyValue && tcp.port eq 1234")
function tap.reset()
end
function tap.packet(pinfo,tvb,ip)
print("Found my packet ... now what?")
end
function tap.draw()
end
end
init_listener()
end
什麼pinfo
,tvb
和ip
是是unforthcoming的文檔。