Перенаправить вывод editcap в tcpdump
Я хочу отфильтровать первые 100 пакетов внутри файла pcap и показать результат на стандартный вывод. для фильтрации первых 100 пакетов я использовал следующую команду:
editcap -r test.pcap output.pcap 1-100
для показа результата и фильтрации пакета для дальнейшей цели я хочу использовать tcpdump.
tcpdump -tttt tcp and host ip 192.168.1.1 -r inputfile.pcap
я хочу перенаправить вывод editcap в tcpdump, вот так:
editcap -r test.pcap - | tcpdump -tttt tcp and host ip 192.168.1.1 -r -
но в этой команде я не смог отфильтровать первые 100 пакетов. Возможно ли это сделать?? Если нет, то возможно ли переопределить вывод editcap в RAM, а затем прочитать tcpdump из RAM??
заранее спасибо.
PS Кстати, я не хочу использовать приведенную ниже команду, потому что эта команда читает все пакеты внутри файла. Мне нужно, чтобы команда прочитала несколько пакетов внутри файла pcap и показала, что работа была закончена.
tshark -r ~/test1.pcap -R "frame.number<20 and frame.number>10"
1 ответ
но в этой команде я не смог отфильтровать первые 100 пакетов
То есть вы не видите никаких пакетов?
Попробуй сделать
editcap -F pcap -r test.pcap - 1-100 | tcpdump -tttt tcp and host ip 192.168.1.1 -r -
as editcap может записывать файл pcap-ng, и в некоторых версиях libpcap есть ошибка при чтении файлов pcap-ng, из-за которой фильтрация в tcpdump не работает.