Vous pouvez essayer d'utiliser tshark
avec le dissecteur telnet désactivé? Par exemple, lorsque vous capturer en direct pouvez utiliser quelque chose comme ceci:
tshark -i foo --disable-protocol telnet -f "tcp port 23" -Y "tcp.len > 0" -T fields -e frame.number -e data
qui va capturer tout le trafic telnet, mais affiche le numéro de l'image et les champs de données uniquement à partir des paquets qui contiennent effectivement des données. Il nécessite que vous désactiviez le dissecteur telnet pour que cela fonctionne. Notez ici que j'utilise l'option de ligne de commande --disable-protocol
pour désactiver telnet, mais si vous utilisez une ancienne version de tshark
, qui ne possède pas cette option, vous devrez désactiver le telnet dissector dans Wireshark d'abord via "Analyser -> Protocoles activés ... -> Protocole: Telnet" avant d'exécuter tshark
.
Voici un exemple similaire, mais cette fois tshark
est la lecture des paquets à partir d'un fichier plutôt que de les en direct de capture:
tshark -r foo.pcap --disable-protocol telnet -Y "tcp.port eq 23 and tcp.len > 0" -T fields -e frame.number -e data
Et si vous préférez, vous pouvez également modifier le format de sortie des données comprennent deux points séparateurs (':'
) entre les octets comme ceci:
tshark -r foo.pcap --disable-protocol telnet -Y "tcp.port eq 23 and tcp.len > 0" -T fields -e frame.number -e data.data
vous pouvez spécifier autant de champs que vous le souhaitez à l'aide tshark
« s 'option -e
. Reportez-vous au tshark man page
pour plus d'informations sur tshark
et ses différentes options.