0

我需要从一个大的 pcap 中提取特定时间范围内的数据包。我发现 editcap 的 -A 和 -B 选项非常适合这项任务,除了我的目标时间范围是纪元时间,而 -A/B 需要格式为 YYYY-MM-DD HH:MM:SS 的时间。

我的问题是当我将纪元时间转换为 YYYY-MM-DD HH:MM:SS 时,我应该使用哪个时区?(我不确定这是否相关,但我使用的大 pcap 是从不同时区捕获的较小 pcap 的合并)。

我尝试了 tshark,它允许基于纪元时间(frame.time_epoch>=X)进行过滤,但 tshark 似乎资源昂贵,并且经常被我使用的 ubuntu 服务器杀死。

将不胜感激任何帮助!

4

1 回答 1

0

使用系统的时间。

100% 正确。mtkime()解析时间,然后将其馈送到例程 (是 1970-01-01 00:00:00 UTC 的 UN*X/POSIX 纪元)。

我对捕获时间戳记在内部存储为 pcap 中的纪元时间是对的吗

是的。

因此一旦我输入editcap的系统时间被转换为纪元时间,editcap可以提取正确的数据包,无论数据包是从哪个时区捕获的?

是的。

于 2019-10-07T08:17:27.920 回答