tshark에서 pcap 파일에 대한 프로토콜 계위(protocol hierarchy) 통계 출력

 

반달가면 이글루에서 백업 - http://bahndal.egloos.com/625323 (2019.3.14)

tshark에서 pcap 파일을 읽어서 프로토콜 계위(protocol hierarchy) 통계를 출력하는 방법이다. 통계는 -z 옵션으로 지정하는데, tshark 에서 기본적으로 출력해 주는 패킷 목록은 볼 필요가 없이 통계치에만 관심이 있으므로 패킷 목록 출력을 비활성화하는 -q 옵션을 추가해 주자.

-z 옵션에서 지정할 수 있는 통계의 종류중에 프로토콜 계위에 대응하는 인자(argument)는 "io,phs"이다.

test.pcap 파일에 대한 프로토콜 계위 통계 출력은 아래의 예시와 같이 하면 되겠다.

# test.pcap 파일의 protocol hierarchy
tshark -r test.pcap -q -z io,phs

특정 프로토콜만 선별해서 프로토콜 계위를 출력할 수도 있다. 예를 들어 test.pcap 파일에서 tcp 패킷만 골라서 프로토콜 계위를 보고 싶다면 아래와 같이 할 수 있다.

# tcp 패킷에 대한 protocol hierarchy
tshark -r test.pcap -q -z io,phs,tcp

만약 tcp 또는 udp 패킷에 대한 통계를 보고 싶다면 필터 문자열이 "tcp or udp" 이런 식으로 공백을 포함하게 되므로 -z 옵션의 인자를 지정할 때 따옴표를 사용하면 된다.

# tcp 또는 udp 패킷에 대한 protocol hierarchy
tshark -r test.pcap -q -z io,phs,"tcp or udp"