0

かなり大きなサイズの Pcap ファイルがあります。このファイルの 1 つのパケット、たとえば 10 番目のパケットを読み取りたいだけです。

次のような tshark コマンドがあります。

tshark -r myfile.pcap frame.number == 10 -V

コマンドは、10 番目のパケットが見つかった場合でも、ファイル全体を検索し続けます。それには長い時間がかかります。

パケットが見つかったときにコマンドを停止したいのですが、どうすればよいですか?

ご提案ありがとうございます。

4

1 に答える 1

0

editcap (wireshark パッケージの一部) を使用して、1 つまたは複数の特定のフレームを pcap ファイルから新しい pcap ファイルに抽出できます。

その後、新しいファイルに対して tshark を実行できます。(これは 2 段階のプロセスですが、大きな pcap ファイルの場合、tshark がファイル全体を読み取るよりも時間がかかりません)。

Usage: editcap [options] ... <infile> <outfile> [ <packet#>[-<packet#>] ... ]

Packet selection:
  -r                     keep the selected packets; default is to delete them.

オプションeditcap -hの完全なリストについては、を参照してください。editcap

于 2012-06-01T03:13:34.010 に答える