wireshark - 如何使用editcap拆分基于关闭时间列的PCAP文件？

问问题 2020-11-01T21:12:59.890

290 次

我有一个从wireshark 导出的相当大的PCAP 文件。PCAP 如下所示：

No. Time    Source  Destination Protocol    Length  Info
1   0   192.168.100.180 8.8.8.8 DNS 95  Standard query 0xf948 A detectportal.firefox.com OPT
2   0.000159827 192.168.100.180 8.8.8.8 DNS 95  Standard query 0xaf8a AAAA detectportal.firefox.com OPT
3   0.002743676 8.8.8.8 192.168.100.180 DNS 206 Standard query response 0xf948 A detectportal.firefox.com CNAME detectportal.prod.mozaws.net CNAME prod.detectportal.prod.cloudops.mozgcp.net A 34.107.221.82 OPT
4   0.002774349 8.8.8.8 192.168.100.180 DNS 218 Standard query response 0xaf8a AAAA detectportal.firefox.com CNAME detectportal.prod.mozaws.net CNAME prod.detectportal.prod.cloudops.mozgcp.net AAAA 2600:1901:0:38d7:: OPT
12  0.168337688 192.168.100.180 8.8.8.8 DNS 82  Standard query 0x6b67 A mozilla.org OPT
13  0.170840019 8.8.8.8 192.168.100.180 DNS 98  Standard query response 0x6b67 A mozilla.org A 63.245.208.195 OPT
14  0.201381247 192.168.100.180 8.8.8.8 DNS 82  Standard query 0xce22 AAAA

...

我想根据时间列将 PCAP 文件拆分为 10 个较小的 PCAP。基本上，10 个 PCAP 文件，每个文件跨越大约 50 秒。

我认为 editcap 可能会帮助我，但我不确定正确的命令是什么。（直到 2 天前才听说过 editcap，哈哈）

wireshark - 如何使用editcap拆分基于关闭时间列的PCAP文件？

0 回答 0

Related

Reference