有谁知道我怎么能在tshark中过滤DNS请求,要求提供任何记录?
到目前为止,我可以使用以下方法过滤DNS查询:
tshark -r capture.cap -T fields -e ip.src -e ip.dst -e dns.qry.name -R“dns.flags.response eq 0”
我怎么也可以过滤?
到目前为止,我可以使用以下方法过滤DNS查询:
tshark -r capture.cap -T fields -e ip.src -e ip.dst -e dns.qry.name -R“dns.flags.response eq 0”
我怎么也可以过滤?
解决方法
您需要过滤QTYPE为*(也称为ANY)的查询(由整数255表示):
在WireShark或NetMon中,这将是
"dns.qry.type==255"
所以对于tshark,我认为它将是:
"dns.qry.type eq 255"
您可以在RFC 1035 §3.2.3 “QTYPE Values”中找到所有查询类型的数值
