如何在tcpdump中过滤特定的有效负载字节?
我使用命令如何在tcpdump中过滤特定的有效负载字节?,tcp,tcpdump,Tcp,Tcpdump,我使用命令tcpdump-x-r input.pcap,并具有以下tcp数据包: 18:05:08.139615 IP 192.168.5.117.12336 > 192.168.5.2.58542: Flags [P.], seq 4484:4604, ack 91, win 5792, options [nop,nop,TS val 3008071469 ecr 2239920620], length 120 0x0000: 4500 00ac a172 4000 4006
tcpdump-x-r input.pcaptcp18:05:08.139615 IP 192.168.5.117.12336 > 192.168.5.2.58542: Flags [P.], seq 4484:4604, ack 91, win 5792, options [nop,nop,TS val 3008071469 ecr 2239920620], length 120
0x0000: 4500 00ac a172 4000 4006 0d12 c0a8 0575 E....r@.@......u
0x0010: c0a8 0502 3030 e4ae 1f09 8634 bb24 e0aa ....00.....4.$..
0x0020: 8018 16a0 1372 0000 0101 080a b34b 872d .....r.......K.-
0x0030: 8582 79ec d580 0008 7d08 0000 0000 0000 ..y.....}.......
0x0040: 0000 fd0a ff6f 7308 1200 0a1c 0d0a 0901 .....os.........
0x0050: 1112 0003 1e1f 0c10 010f 0000 0000 0000 ................
0x0060: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0070: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0080: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0090: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x00a0: 0000 0000 0000 0000 0000 0000
0x00318582tcpdump0x00302个字节
tcpdump -lx -r input.pcap | grep 0x0030 | awk '{print $2}'
我希望做一些类似的事情,并决定使用grep获取0x0030的行,然后使用awk将其按空格分割并打印第二个字段,即8582
tcpdump的-l选项确保对stdout的输出是立即的