PacketFu タイムスタンプ構造体の使用方法がわかりません。( PacketFu ドキュメント-タイムスタンプ ドキュメント)
packets = PcapFile.read_packets "myCapture.pcap"
...しかし、結果からタイムスタンプ情報を取得する方法がわかりません。Unix エポック形式で問題ありません。
libpcapタイムスタンプ情報は実際のパケットではなく一部であることを認識しており、 (Wireshark で) 有用なタイムスタンプ情報が存在することを確認しました。プログラムで抽出したい。
これは、 Packetfu テスト コードから収集したものです。
file = File.open("myCapture.pcap") {|f| f.read}
packets = PacketFu::PcapPackets.new.read file
packets.each { |p|
t = p.timestamp
puts t.sec.to_i.to_s + "." + t.usec.to_i.to_s
packet = PacketFu::Packet.parse(p.data)
# do stuff with packet...
}
恐ろしく文書化されておらず、ブロックを渡す代わりにファイル全体を読み込む必要があるため、パフォーマンスが低下する可能性がありますPcapFile.read_packetsPcapFile.read_packets。(これは科学的な結果ではなく、逸話的な結果です。)
上記よりも目立つ答えを受け入れます。
また、十分な担当者がpacketfuタグを作成できれば、それは素晴らしいことです.