我正在为使用 tshark 创建的一堆常规小 pcap 文件编写解析脚本。
我需要的是提取捕获中第一个数据包和最后一个数据包的精确(低至毫秒)时间戳。我尝试了“capinfos myfile”,但它的精度可以低至几秒钟,对于持续时间不到一秒钟的捕获来说,这并不是很有帮助。
有谁知道我如何获取该信息?
问问题
2011 次
1 回答
5
运行 capinfos -c 显示数据包数量:
$ capinfos -c lmt_04.pcap
文件名:lmt_04.pcap
数据包数量:1645
运行 TShark -T 字段打印第一个和最后一个数据包的 frame.time:
$ tshark -r lmt_04.pcap -R "frame.number==1 || frame.number==1645" -T fields -e frame.time
2009 年 8 月 28 日 21:29:24.491572000
2009 年 8 月 28 日 21:30:36.747868000
于 2011-08-22T17:47:06.657 回答