我有一个大的 pcap 文件,我的目标是只提取跟踪的某个时间戳周期(例如,数据集时间从 0 到 200 开始,但我只想要 50 到 100 秒之间)。
我尝试使用editcap工具并使用此命令
editcap -A "50.000000000" -B "100.000000000" input_file output_file
因为我的数据集时间字段显示这种格式。问题是,它给出了错误
"editcap: "50.000000000" isn't a valid time format"
我尝试了其他方式,例如,根据wireshark网站,格式应该是这样的,也以同样的错误结束。
The time is given in the following format YYYY-MM-DD HH:MM:SS
网络中讨论的一些解决方案是使用报价,但也给我错误
"YYYY-MM-DD HH:MM:SS"
问题是,使用 editcap 工具来实现我上面的目标的真正格式是什么。
editcap -A "2006-12-15 13:17:10" ...
worked fine for me (on Windows).
Note: You must use the times as displayed by tshark using the -tad option (without the fractional second).
That is: specifying sub-seconds ( 2006-12-15 13:17:10.1234 ) will ignore the sub-seconds part.
您可以通过这种方式尝试 tshark,而不是使用 editcap:
$ tshark -r input.pcap -R "frame.time_relative >= 50 && frame.time_relative <= 100" -w output.cap
由于您捕获的日期是 UTC 时间,因此可能与您看到的不同,请使用以下两个命令:
>> capinfos -a -e 201609011400.pcap
File name: 201609011400.pcap
Packet size limit: inferred: 34 bytes - 96 bytes (range)
Start time: Thu Sep 1 07:00:00 2016
End time: Thu Sep 1 07:15:00 2016
>> editcap -A "2016-09-01 07:00:00" -B "2016-09-01 07:05:00" 201609011400.pcap 201609011400_1st_third.pcap