有谁知道我可能能够过滤请求任何logging的tshark DNS请求?
到目前为止,我能够过滤DNS查询:
tshark -r capture.cap -T fields -e ip.src -e ip.dst -e dns.qry.name -R "dns.flags.response eq 0"
我怎么也过滤任何?
您需要过滤QTYPE为*(也称为ANY)的查询(由整数255表示):
在WireShark或NetMon这将是
"dns.qry.type==255"
所以对于tshark我认为这将是:
"dns.qry.type eq 255"
您可以在RFC 1035§3.2.3“QTYPE值”中find所有查询types的数值