是否有任何简单的方法可以为与特定日期时间范围相关的数据包创建pcap 文件tshark，tcpdump或者使用其他命令行工具？

tshark -Rwithframe.time似乎很有希望，但我还没能解决这个问题......

编辑

最后的命令：

I'm making a script that is inspecting packets, but headers giving me a headache. I have a DSL connection/Wireless at home, and the data link layer is appearing in Wireshark capture, either PPP or WLAN depending on which one I am currently using.

I've been searching for a thsark, editcap or tcpdump or whatever tutorial but I couldn't find any.

Basically all I need: < program_name_which_nicely_removes_transport_layer > input.pcap < output.pcap_only_containing_ethernet_header+ip+tcp+data > or something similar.

I have found a program named bittwiste, but it's operating with fixed sizes as I realized, but I need something 'universal', where I don't have to determine the used link type + size.

Any help is appreciated!

Thank you in advance.

我正在尝试在不同文件夹中的一堆文件上运行 editcap，并且使用 *. 例如：

问题是，当我还尝试指定输出文件时，例如：

outputFile 作为输入的一部分被读取，我没有得到任何输出。

有人知道如何解决这个问题吗？谢谢！

我有一个大的 pcap 文件，我的目标是只提取跟踪的某个时间戳周期（例如，数据集时间从 0 到 200 开始，但我只想要 50 到 100 秒之间）。

我尝试使用editcap工具并使用此命令

因为我的数据集时间字段显示这种格式。问题是，它给出了错误

我尝试了其他方式，例如，根据wireshark网站，格式应该是这样的，也以同样的错误结束。

网络中讨论的一些解决方案是使用报价，但也给我错误

问题是，使用 editcap 工具来实现我上面的目标的真正格式是什么。

我想过滤 pcap 文件中的前 100 个数据包并在标准输出上显示结果。为了过滤前 100 个数据包，我使用了以下命令：

为了进一步显示结果和过滤数据包，我想使用 tcpdump。

我想将editcap的输出重定向到tcpdump，如下所示：

但在这个命令中，我无法过滤前 100 个数据包。有可能这样做吗？如果不是，是否可以将 editcap 的输出重定向到 RAM，然后从 RAM 读取 tcpdump？

先谢谢了。

PS 顺便说一句，我不想​​使用下面的命令，因为这个命令读取了文件里面的所有 Packet。我需要命令读取他 pcap 文件中的一些数据包，然后显示完成了这项工作。

我是 Wireshark 的初学者，但我在使用它时遇到了问题，我搜索了 Wireshark wiki，但似乎没有有希望的结果。希望我能在这里得到一些帮助。

我正在尝试分析 LG 智能手表和 Android 手机之间的网络流量，它们都通过蓝牙通道。现在我得到了网络流量日志文件，我可以通过运行来查看它wireshark <log_file_name>。问题是如何提取和检索数据，甚至只是删除蓝牙标头并获取original network layer packet，因为我可以解析 IP 层数据包，但蓝牙数据包不是我想要的和我理解的。

我做了什么 -

1. 获得了网络流量的wireshark捕获。
2. 编辑捕获文件以删除一个 GET 请求。（使用editcap删除了该行）
3. 保存编辑后的文件（从第 2 步开始）
4. 对这个文件进行了 tcpreplay。

当我这样做时，我收到一个错误：致命错误：打开 pcap 文件时出错：转储文件格式错误。

关于可能出错的任何输入？我在编辑wireshark pcap文件的方式上做错了吗？

谢谢，安迪

我有一个大的 pcap 文件，我想生成一个只包含前十分钟流量的新 pcap。我可以这样做tcpdump吗？我在editcap网上看到提到过，但如果可能的话我想使用tcpdump。

问题

我需要修改在 5 分钟内捕获的 .pcap 文件，以便模拟在 20 分钟内捕获的 .pcap 文件。问题是我不知道该怎么做。

例子

为了说明这个问题，假设我有一个 .pcap 文件，其中包含 4 个捕获的数据包p1-p4并且t作为开始时间：

• p1在t+ 0 分钟发送
• p2在t+ 1 分钟发送
• p3在t+ 2 分钟发送
• p4在t+ 3 分钟发送

我希望生成的 .pcap 文件包含相同的四个数据包，但时间戳按比例缩放（从 5 分钟到 20 分钟），以便它们表示以下内容：

• p1在t+ 0 分钟发送
• p2在t+ 4 分钟发送
• p3在t+ 8 分钟发送
• p4在t+ 12 分钟发送

尝试过的解决方案

• editcap，但是我可以在这里找到的唯一选项是使用该选项调整具有设定值的所有时间戳-t。

背景

我正在使用tcpreplay重播用户浏览网页的场景。我同时注入了一些依赖于我重放的 .pcap 文件的数据包，即这些数据包是通过实时监控重放流量并随后调整它发出的数据包来注入的。这整个流量跟踪——即重放的流量和注入的数据包——都是使用tcpdump. 由于我要重播很多大型 .pcap 文件，因此我使用该tcpreplay --multiplier选项来加快进程。但是，这意味着最终捕获的是原始 .pcap 文件的压缩版本。我想将新创建的 .pcap “拉伸”为与原始文件相同的大小。

我正在尝试从.pcap文件中获取数据包的随机子集。为此，我编写了以下 shell 脚本：

但是，editcap给我以下错误：

使用 shell 循环会花费非常长的时间。

如何从.pcap文件中随机选择数据包子集？