У меня есть собственный протокол, который работает на порту 8888 (нет, это не http) поверх TCP. Я записал поток пакетов в файл PCAP. Проблема в том, что теперь я не могу отображать только часть данных.
Я пробовал с помощью следующей команды:
tshark -r test.pcap -R 'tcp.port==8888 && tcp.len>0' -T fields -e "tcp.data"
Но он отображает пустые строки. Разве поле tcp.data не содержит данные TCP-пакета?
Как я могу отображать только те данные, которые мне нужны?
tpcick
- person Stephane Chazelas   schedule 29.10.2013