use*_*355 4 domain-name-system pcap tshark
有谁知道我如何能够在 tshark 中过滤要求 ANY 记录的 DNS 请求?
到目前为止,我可以通过以下方式过滤 DNS 查询:
tshark -r capture.cap -T fields -e ip.src -e ip.dst -e dns.qry.name -R "dns.flags.response eq 0"
我还可以按 ANY 过滤吗?
您需要过滤 QTYPE 为 *(也称为 ANY)(由整数 255 表示)的查询:
在 WireShark 或 NetMon 中,这将是
"dns.qry.type==255"
所以tshark我认为它会是:
"dns.qry.type eq 255"
您可以在RFC 1035 §3.2.3 "QTYPE Values" 中找到所有查询类型的数值
| 归档时间: |
|
| 查看次数: |
3662 次 |
| 最近记录: |