Фильтрация файла дампа pcap за определенный промежуток времени

Question

Фильтрация файла дампа pcap за определенный промежуток времени

Есть ли простой способ создать файл pcap для пакетов, связанных с определенным диапазоном дат и времени, возможно, используя tshark, tcpdump или другой инструмент командной строки?

tshark -R с frame.time кажется многообещающим, но я еще не смог решить это...

РЕДАКТИРОВАТЬ

Последняя команда:

editcap -F libpcap -A "2013-07-20 23:00:00" -B "2013-07-20 23:20:00" input.pcap output.pcap

15

pcap tcpdump tshark editcap

Источник

user81444 13 ноя '13 в 11:48

1 ответ

Решение

Другие вопросы по тегам pcap tcpdump tshark editcap

user2844935 13 ноя '13 в 13:58 2013-11-13 13:58 · Accepted Answer · 2013-11-13 13:58

Что вам нужно editcap, Это инструмент командной строки, который является частью семейства Wireshark.

Посетите справочную страницу по адресу http://www.wireshark.org/docs/man-pages/editcap.html.

Он принимает файл pcap в качестве входных данных и записывает выходной. Вы можете работать с infile для фильтрации содержимого, например, по времени начала и окончания, диапазонам номеров пакетов, длине пакетов с привязкой, настройке временных меток (!) И т. Д. Это отличный инструмент.