TShark 输出中逗号分隔的 IP 地址

问题描述 投票:0回答:1

我有一堆 PCAP,我正在使用 TShark 以编程方式剖析它们。一些 bash 代码示例:

tshark -r my_pcap.pcap -2 -T fields -E separator=/t \
    -e frame.time_epoch \
    -e ip.src \
    -e ip.dst \
    -e frame.protocols \
    > my_output.tsv

有时,我会得到输出,其中 

ip.src
ip.dst
字段有两个 IP 地址,用逗号分隔(例如,
192.168.19.1,192.168.10.10
)。我有两个问题:

  1. 产生这样的输出是发生了什么?是否存在会发生这种情况的特定情况?
  2. 是否有最佳实践来处理此问题以确保信息准确和/或保留最大信息?
networking wireshark pcap tshark
1个回答
0
投票

回答您的第一个问题:由于隧道协议(例如 IP/GRE/IP)或某些 ICMP 错误消息(例如“目标无法到达”消息)等原因,可能存在多个源和目标 IP 地址对,如 RFC792 中所述,其中包括 “互联网标头加上原始数据报数据的前 64 位。” 在其有效负载中。 我不明白你关于最佳实践的第二个问题是什么意思。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.