tcpdumpで書き込んだキャプチャしたデータに対して
# tshark -r test.cap
ディスプレイフィルタ(どのようなディスプレイフィルタが使えるかはwiresharkeの定義で確認できる)
演算子として以下のものも使える。
# tshark -r test.cap -R "tcp.optios.sack"
display filterの参考にするべきソース
proto_register_xxx (xxxの部分をtcp,udp,httpに変えて検索する)
proto_register_tcp (TCP関連のdisplay filterを調べるとき)
1linarでtcp display filter取り出す方法
TCP関連のdisplay filter
UDP関連のdisplay filter
1linarでudpのdisplay filterを取り出すコマンド
HTTP関連のdisplay filter
1linarでhttp関連のdisplay filter取り出し
FTP関連のdisplay filter
arp関連のdisplay filter
ipmi関連のdisplay filter
ipv6関連のdisplay filter
nfs関連のdisplay filter
ntp関連のdisplay filter
dns関連のdisplay filter
json関連のdisplay filter