讀捕獲命令行分組使用tcpdump

Question

我使用捕獲的流量：

tcpdump -i <interface> -nn -s0 -w ike2.pcap 

然後我使用讀取所捕獲的文件：

tcpdump -vvv -l -r ike2.pcap 

在閱讀，第一分組是越來越顯示爲：

07:22:33.320142 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], length: 296) 10.0.0.1.isakmp > 10.0.0.2.isakmp: [udp sum ok] isakmp 2.0 msgid cookie ->: phase 1 I #34[]: 
    (#33) 
    (#34) 
    (#40) 
    (#41) 
    (#41) 

我需要得到這個數據包的細節。在這個ISAKMP IKEv2數據包中，我有興趣提取'加密算法'和'完整性算法'（即'ENCR_3DES'和'AUTH_HMAC_MD5_96'）的值

如果我在wireshark中檢查數據包，我可以查看這些值。但是，我必須從shell腳本執行此操作，因此我無法使用wireshark。我需要從tcpdump讀命令本身獲取這些值。

我假設可能有某種方法來打印從tcpdump讀命令使用的加密和完整性算法。你能幫忙解決這個問題嗎？

捕獲的分組：

Answer 1

如果我在檢查Wireshark的分組我可以查看值。但是，我必須從shell腳本執行此操作，因此我無法使用wireshark。

但你也許可以使用TShark。

Answer 2

能找到做到這一點，你僅與tcpdump的期待，但@ user862787說使用tshark的，如：

# tshark -V -r somecapfile.pcap 
Frame 1: 196 bytes on wire (1568 bits), 196 bytes captured (1568 bits) 
Encapsulation type: Linux cooked-mode capture (25) 
Arrival Time: May 10, 2017 02:00:34.811347000 CDT 
[Time shift for this packet: 0.000000000 seconds] 
Epoch Time: 1494399634.811347000 seconds 
[Time delta from previous captured frame: 0.000000000 seconds] 
[Time delta from previous displayed frame: 0.000000000 seconds] 
[Time since reference or first frame: 0.000000000 seconds] 
Frame Number: 1 
Frame Length: 196 bytes (1568 bits) 
Capture Length: 196 bytes (1568 bits) 
[Frame is marked: False] 
[Frame is ignored: False] 
[Protocols in frame: sll:ethertype:ip:sctp:m3ua:sccp:tcap:gsm_map] 

的-V你想要做什麼！