Pour connaître certaines informations contenues dans un paquet, il est possible de demander à Tshark de filtrer avec la libpcap :
tshark -V -n -i any -c 2 -Eheader=y -Tfields -e eth.src -e eth.dst -e ip.src -e ip.dst ip src or dst 192.168.2.130 2>/dev/null
eth.src                 ip.src          ip.dst
00:16:c7:df:96:47	192.168.2.130	77.91.227.248
00:16:c7:df:96:47	192.168.2.130	92.241.190.237
Tous les paramètres sont disponibles dans man pcap-filter

On peut aussi filtrer avec les filtres de wireshark :
tshark -V -n -i eth1 -Eheader=y -Tfields -e eth.src -e eth.dst -e ip.src -e ip.dst -R "ip.addr eq 192.168.2.130" 2>/dev/null. Ceci ne fonctionne pas avec la pseudo-interface 'any'.
Tous les paramètres sont disponibles dans man wireshark-filter.
Comme il s'agit des filtres Wireshark, il faut que les paquets soient correctement sniffés par la libpcap avant de pouvoir être filtrés par Wireshark.

La première méthode est préférable puisque la libcap ne remonte les paquets à l'analyseur que si ils correspondent au filtre : cela charge moins la machine puisqu'elle a moins de paquets à analyser.
Des cookies d'analyse d'audience sont utilisés sur ce site