Mam instrument USB i chcę na nim przechwytywać pakiety. Uruchomiłem, .\tshark.exe -D
a interfejs USB ma numer 6, a następnie uruchomiłem polecenie: .\tshark.exe -c 100 -i 6
wydawało się, że przechwytuje ruch USB z mojego urządzenia.
Potem przyszło mi do głowy, że kiedy to urządzenie jest uruchomione, może istnieć wiele urządzeń USB, podłączonych do systemu i samo określenie może nie wystarczyć. Znam identyfikator urządzenia (0x0009) i identyfikator dostawcy (0x08f7), w jaki sposób mogę określić dokładnie urządzenie, które chcę przechwycić, za pomocą tshark?
Korzystam z programu tshark w wierszu polecenia systemu Windows 8.
usb.device_address == #
i po prostu musisz podać adres urządzenia dla tej wartości.Odpowiedzi:
Czasami warto spojrzeć na tshark (1) - strona Linux człowiek i tshark - strona Wireshark człowieka i
-f
i-i
przełączników opcji.Dodatkowo spójrz na filtry przechwytywania Wireshark i odniesienie do filtru wyświetlania USB Wireshark, które mogą być przydatne w tworzeniu odpowiednich poleceń do filtrowania i dopasowywania do twoich potrzeb.
Możesz użyć wyrażenia filtru przechwytywania, takiego jak
usb.device_address == #
lubusb.addr == #
za pomocą-f
przełącznika, aby nakazać sniffowi przechwytywanie tylko pakietów z określonego urządzenia USB.źródło
-i
przełącznik powinien być specyficzny dla interfejsu, a inne linki mogą być pomocne w odpowiedniej składni, aby to zrobić (jeden z nich; filtr lub-i
przełącznik). Możesz oznaczyć swoje pytanie jako Windows lub Windows 8.1.