Ich denke, wenn Sie die Ausgabe von tshark neu organisieren mit -T fields es ist viel einfacher. Ich konnte so erreichen, was Sie wollen:
$ tshark -r blah.pcap -T fields -e frame.len -e ip.src | sort -k 1n | tail -5
92 10.0.2.2
92 10.0.2.2
92 10.0.2.2
100 10.0.2.15
156 10.0.2.15
tshark-Felder
Sie können diesen Befehl verwenden, um eine Liste aller Felder zu erhalten:
$ tshark -G field
Aber das fand ich etwas schwierig zu lesen. Wenn Sie die Spalten in -G field verstehen möchten Ausgabe, sie werden hier beschrieben:tshark - Dump und analysiere den Netzwerkverkehr:
* Header Fields
* -------------
* Field 1 = 'F'
* Field 2 = descriptive field name
* Field 3 = field abbreviation
* Field 4 = type (textual representation of the ftenum type)
* Field 5 = parent protocol abbreviation
* Field 6 = base for display (for integer types); "parent bitfield width" for FT_BOOLEAN
* Field 7 = bitmask: format: hex: 0x....
* Field 8 = blurb describing field
Sie können diesen grep verwenden um die Ausgabe zu filtern, wenn Sie mutig sind:
$ tshark -G fields | grep -P '\s+(ip.src|frame.len)\s+'
F Frame length on the wire frame.len FT_UINT32 frame BASE_DEC 0x0
F Source ip.src FT_IPv4 ip 0x0
Referenzen
- Linkbeschreibung hier eingeben
- Tshark-Tutorial und Filterbeispiele
- Zählen von IP-Vorkommen in der PCAP-Datei mit tshark
- Spezifischer Anzeigefilter für IP-Adressen mit tshark