tshark: захватывает данные c байтов из пакетных данных (контента)

Question

У меня есть файл захваченной трассировки (.pcap), и я хочу прочитать поле данных каждого захваченного пакета в этой трассировке. Я могу сделать это с помощью этой команды:

tshark -r aa.pcap -Tfields -Y "udp" -e data

3000ca02f89f0004000115af0000017900.......

Эта команда читает все содержимое в поле данных каждый пакет. Мой вопрос заключается в том, как я могу прочитать определенные c байтов из данных (например, только 5-й и 6-й байты)

f89f

Answer 1

Если у вас есть cut, доступный в вашей системе, вы можете направить вывод tshark на него, чтобы изолировать нужные символы. Например:

tshark -r aa.pcap -Tfields -Y "udp" -e data | cut -c 9-12

Вы можете даже проверить это следующим образом:

echo 3000ca02f89f0004000115af0000017900 | cut -c 9-12
f89f

РЕДАКТИРОВАТЬ : я установил смещения от 10-13 до 9-12, так как это кажется правильным смещением. Если вы заключите в кавычки символы в команде echo, вам понадобится 10-13, но это не те корректные смещения, которые нужны для вывода tshark.