我有一个相当大的 Pcap 文件。我只想读取这个文件中的一个数据包,例如第 10 个数据包。
我有一个像这样的 tshark 命令:
tshark -r myfile.pcap frame.number == 10 -V
即使找到第 10 个数据包,该命令也会继续搜索整个文件。这需要很长时间。
我更喜欢在找到数据包时停止命令,我该怎么做?
谢谢你的任何建议。
问问题
490 次
1 回答
0
editcap(wireshark 软件包的一部分)可用于将一个或多个特定帧从 pcap 文件提取到新的 pcap 文件中。
然后,您可以在新文件上运行 tshark。(这是一个两步过程,但对于大型 pcap 文件,它比 tshark 读取整个文件所需的时间更少)。
Usage: editcap [options] ... <infile> <outfile> [ <packet#>[-<packet#>] ... ]
Packet selection:
-r keep the selected packets; default is to delete them.
请参阅editcap -h完整的editcap选项列表。
于 2012-06-01T03:13:34.010 回答