是否有任何简单的方法可以为与特定日期时间范围相关的数据包创建pcap 文件tshark,tcpdump或者使用其他命令行工具?
tshark -Rwithframe.time似乎很有希望,但我还没能解决这个问题......
编辑
最后的命令:
editcap -F libpcap -A "2013-07-20 23:00:00" -B "2013-07-20 23:20:00" input.pcap output.pcap
问问题
19543 次
1 回答
17
你需要的是editcap. 它是一个命令行工具,属于 Wireshark 家族。
查看http://www.wireshark.org/docs/man-pages/editcap.html的手册页。
它将一个 pcap 文件作为输入,并写入一个输出文件。您可以对 infile 进行操作以过滤内容,例如,使用start-time 和 end-time、数据包编号范围、快照数据包长度、调整时间戳 (!) 等。这是一个很棒的工具。
于 2013-11-13T13:58:16.237 回答