editcap -A и -B: какой часовой пояс мне использовать?

Question

editcap -A и -B: какой часовой пояс мне использовать?

Мне нужно извлечь пакеты в определенные промежутки времени из большого pcap. И я обнаружил, что опции editcap -A и -B идеально подходят для этой задачи, за исключением того, что мои целевые временные диапазоны находятся в эпохальном времени, а -A/B требует времени в формате ГГГГ-ММ-ДД ЧЧ: ММ: СС.

У меня вопрос: когда я конвертирую время эпохи в ГГГГ-ММ-ДД ЧЧ: ММ: СС, какой часовой пояс мне следует использовать? (Я не уверен, актуально ли это, но большой pcap, который я использую, представляет собой слияние меньших pcap, захваченных из разных часовых поясов).

Я пробовал tshark, который позволяет фильтровать на основе времени эпохи (frame.time_epoch>=X), но tshark, кажется, дорого обходится и постоянно убивается сервером ubuntu, который я использовал.

Буду признателен за любую помощь!

0

wireshark tcpdump timestamp-with-timezone tshark editcap

Источник

user12012439 05 окт '19 в 04:41

1 ответ

Решение

Другие вопросы по тегам wireshark tcpdump timestamp-with-timezone tshark editcap

user12175407 07 окт '19 в 11:17 2019-10-07 11:17 · Accepted Answer · 2019-10-07 11:17

Используйте время вашей системы.

100% правильно. Время анализируется и затем передается в процедуру (mtkime()), который преобразует значение года / месяца / дня / часа / минуты / секунды по местному времени в часовом поясе машины во время POSIX ("Время эпохи", где "Эпоха" - это эпоха UN*X/POSIX 1970-01-01 00:00:00 UTC).

Я прав, что временные метки захвата хранятся как время эпохи в pcap внутри

Да.

и, таким образом, как только системное время, которое я загружаю в editcap, преобразуется во время эпохи, editcap может извлекать нужные пакеты независимо от того, из какого часового пояса захвачены пакеты?

Да.