Fil*_*ale 12 tcpdump pcap tshark editcap
有没有简单的方法来创建一个PCAP文件的使用可能与特定日期时间范围内的数据包tshark,tcpdump或其他命令行工具?
tshark -R与frame.time似乎很有前途,但我一直没能上班了这一点尚未...
编辑
最后的命令:
editcap -F libpcap -A "2013-07-20 23:00:00" -B "2013-07-20 23:20:00" input.pcap output.pcap
Jam*_*mes 16
你需要的是什么editcap.它是一个命令行工具,是Wireshark系列的一部分.
请查看手册页http://www.wireshark.org/docs/man-pages/editcap.html.
它需要一个pcap文件作为输入,并写一个输出.您可以对infile进行操作以过滤内容,例如,使用开始时间和结束时间,数据包编号范围,快照数据包长度,调整时间戳(!)等.这是一个很棒的工具.