TShark pcap 過濾器命令可能簡化了嗎？

對象：在具有特定標頭字元串的 pcap 文件中查找 HTTP 伺服器的 IP 地址。可以或應該-l使用沖洗選項嗎？

一種方法：以下已完成，但我想知道是否可以縮短它。如果這個問題太寬泛，請指教。

tshark -r*文件*.pcap -T 欄位 -e ip.src -e http.server > *name* .txt &&
貓*名*.txt | 排序 | 唯一的-c | 排序-nr | grep“xxx_xxx”

如果您想要計算幀中的 src IP 地址，這些幀還包含 HTTP 響應，並且Server標頭包含xxx_xxx，您可以執行以下操作：

tshark -r file.pcap -T fields -e ip.src 'http.server contains "xxx_xxx"' |
 sort | uniq -c | sort -nr

有關 wireshark 顯示過濾器的語法，請參閱文件。

一些tshark自己的分析報告（帶有-z）也可能對您有用，例如：

tshark -r file.pcap -z http_srv,tree -2R 'http.server contains "xxx_xxx"'

tshark -r file.pcap -z hosts,ip -2R 'http.server contains "xxx_xxx"'

tshark -r file.pcap -z conv,ip -2R 'http.server contains "xxx_xxx"'

引用自：https://unix.stackexchange.com/questions/672478