ฉันจะจับแพ็คเก็ต USB เฉพาะอุปกรณ์ด้วย tshark ได้อย่างไร

ฉันมีอุปกรณ์ USB และฉันต้องการจับแพ็คเก็ต ฉันวิ่ง .\tshark.exe -D และอินเตอร์เฟส USB เป็นหมายเลข 6 จากนั้นฉันรันคำสั่ง: .\tshark.exe -c 100 -i 6 ดูเหมือนว่าจะจับการรับส่งข้อมูล USB จากอุปกรณ์ของฉัน

จากนั้นก็เกิดขึ้นกับฉันว่าเมื่ออุปกรณ์นี้กำลังทำงานอยู่อาจมีอุปกรณ์ USB หลายตัวเชื่อมต่อกับระบบและการระบุเพียงอาจไม่เพียงพอ ฉันรู้รหัสอุปกรณ์ (0x0009) และรหัสผู้ขาย (0x08f7) ฉันจะระบุอุปกรณ์ที่แน่นอนที่ฉันต้องการจับภาพผ่าน tshark ได้อย่างไร

ฉันใช้ tshark ในบรรทัดคำสั่งของ Windows 8

ฉันจะจับแพ็คเก็ต USB เฉพาะอุปกรณ์ด้วย tshark ได้อย่างไร

ฉันรู้รหัสอุปกรณ์ (0x0009) และรหัสผู้ขาย (0x08f7) ฉันจะระบุอุปกรณ์ที่แน่นอนที่ฉันต้องการจับภาพผ่าน tshark ได้อย่างไร

คุณอาจต้องการดู tshark (1) - หน้าลินุกซ์ และ tshark - หน้าคน Wireshark และ -f และ -i ตัวเลือกเปลี่ยน

นอกจากนี้ยังมีการดู Wireshark ตัวกรองการจับภาพ และ Wireshark การอ้างอิงตัวกรองการแสดงผล USB ซึ่งคุณอาจพบว่ามีประโยชน์ในการสร้างคำสั่งที่เกี่ยวข้องเพื่อกรองและเหมาะสมกับความต้องการของคุณ

คุณอาจสามารถใช้นิพจน์ตัวกรองการจับภาพเช่น usb.device_address == # หรือ usb.addr == # กับ -f เปลี่ยนเพื่อบอกคนสูดดมให้จับแพ็คเก็ตจากอุปกรณ์ USB เฉพาะ

tshark - หน้าคน Wireshark

ตัวกรองการจับภาพหรืออ่านสามารถระบุได้ด้วย - ฉ หรือ - R ตัวเลือกตามลำดับซึ่งในกรณีนี้การแสดงออกของตัวกรองทั้งหมดจะต้อง   ถูกระบุว่าเป็นอาร์กิวเมนต์เดียว (ซึ่งหมายความว่าถ้ามันมี   ช่องว่างนั้นจะต้องยกมา) หรือสามารถระบุด้วยบรรทัดคำสั่ง   อาร์กิวเมนต์หลังจากอาร์กิวเมนต์ตัวเลือกซึ่งในกรณีนี้อาร์กิวเมนต์ทั้งหมด   หลังจากอาร์กิวเมนต์ตัวกรองจะถือว่าเป็นนิพจน์ตัวกรอง การจับกุม   ตัวกรองได้รับการสนับสนุนเฉพาะเมื่อทำการจับภาพสด; อ่านตัวกรองคือ   ได้รับการสนับสนุนเมื่อทำการจับภาพสดและเมื่ออ่านไฟล์จับภาพ   แต่ต้องการให้ TShark ทำงานได้มากขึ้นเมื่อทำการกรองดังนั้นคุณอาจเป็น   มีแนวโน้มที่จะสูญเสียแพ็กเก็ตที่มีภาระมากหากคุณกำลังอ่าน   กรอง. หากตัวกรองถูกระบุด้วยอาร์กิวเมนต์บรรทัดคำสั่งหลังจากนั้น   อาร์กิวเมนต์ตัวเลือกมันเป็นตัวกรองการจับถ้าการจับภาพเสร็จสิ้น   (เช่นหากไม่มีการระบุตัวเลือก -r) และตัวกรองอ่านถ้ามีการจับภาพ   ไฟล์กำลังถูกอ่าน (เช่นถ้า a -r ระบุตัวเลือกแล้ว)

-f <capture filter>

ตั้งค่านิพจน์ตัวกรองการดักจับ

ตัวเลือกนี้สามารถเกิดขึ้นได้หลายครั้ง ถ้าใช้ก่อนคนแรก   การเกิดขึ้นของตัวเลือก -i มันตั้งค่าตัวกรองการจับภาพเริ่มต้น   การแสดงออก หากใช้หลังจากตัวเลือก -i มันจะตั้งค่าตัวกรองการจับภาพ   expression สำหรับอินเตอร์เฟสที่ระบุโดยอ็อพชัน -i ตัวสุดท้ายที่เกิดขึ้น   ก่อนตัวเลือกนี้ หากไม่ได้ตั้งค่านิพจน์ตัวกรองการดักจับ   โดยเฉพาะนิพจน์ตัวกรองการดักจับเริ่มต้นจะถูกใช้หาก   ให้.

_{แหล่ง}

tshark (1) - หน้าลินุกซ์

-i <capture interface>|-

ตั้งชื่อของอินเทอร์เฟซเครือข่ายหรือไปป์ที่จะใช้สำหรับแพ็คเก็ตสด   การจับกุม.

ชื่ออินเตอร์เฟสเครือข่ายควรตรงกับหนึ่งในชื่อที่แสดง   " tshark -D "(อธิบายไว้ด้านบน); ตัวเลขตามที่รายงานโดย" tshark -D "   ยังสามารถใช้ หากคุณใช้ UNIX " netstat -i " หรือ " ifconfig -a "   อาจทำงานเพื่อแสดงชื่ออินเตอร์เฟสแม้ว่าจะไม่ใช่ทุกเวอร์ชัน   UNIX สนับสนุนตัวเลือก -a เพื่อ ifconfig

หากไม่มีการระบุอินเตอร์เฟส TShark ค้นหารายการอินเตอร์เฟส   เลือกอินเตอร์เฟสที่ไม่ใช่ลูปแบ็คเป็นครั้งแรกหากมี   ไม่ใช่อินเตอร์เฟสย้อนกลับและเลือกอินเตอร์เฟสย้อนกลับแรกหาก   ไม่มีอินเตอร์เฟสที่ไม่ใช่ลูปแบ็ค หากไม่มีอินเตอร์เฟสอยู่ที่   ทั้งหมด TShark รายงานข้อผิดพลาดและไม่เริ่มการจับภาพ

ชื่อท่อควรเป็นชื่อของ FIFO (ชื่อไปป์) หรือ '' - ''   เพื่ออ่านข้อมูลจากอินพุตมาตรฐาน ต้องอ่านข้อมูลจากท่อ   รูปแบบ libpcap มาตรฐาน

หมายเหตุ: เวอร์ชั่น Win32 ของ TShark ไม่รองรับการถ่ายภาพจาก   ท่อ!

_{แหล่ง}