如何使用 tshark 过滤任何 dns 请求

use*_*355 4 domain-name-system pcap tshark

有谁知道我如何能够在 tshark 中过滤要求 ANY 记录的 DNS 请求?
到目前为止,我可以通过以下方式过滤 DNS 查询:
tshark -r capture.cap -T fields -e ip.src -e ip.dst -e dns.qry.name -R "dns.flags.response eq 0"
我还可以按 ANY 过滤吗?

Mat*_*sen 7

您需要过滤 QTYPE 为 *(也称为 ANY)(由整数 255 表示)的查询:

在 WireShark 或 NetMon 中,这将是

"dns.qry.type==255"
Run Code Online (Sandbox Code Playgroud)

所以tshark我认为它会是:

"dns.qry.type eq 255"
Run Code Online (Sandbox Code Playgroud)

您可以在RFC 1035 §3.2.3 "QTYPE Values" 中找到所有查询类型的数值