Ale*_*tov 3 pcap wireshark tshark
我正在为一堆用tshark创建的常规小pcap文件编写解析脚本.
我需要的是提取捕获中的第一个数据包和最后一个数据包的精确(低至毫秒)时间戳.我尝试了"capinfos myfile",但是它的精确度可以达到秒,对于持续时间不到一秒的捕获,这并不是很有用.
有谁知道我怎么能抓住这些信息?
运行capinfos -c以显示数据包数:
$ capinfos -c lmt_04.pcap
文件名:lmt_04.pcap
数据包数:1645
运行TShark -T字段以打印第一个和最后一个数据包的frame.time:
$ tshark -r lmt_04.pcap -R"frame.number == 1 || frame.number == 1645"-T fields -e frame.time
2009年8月28日21:29:24.491572000
2009年8月28日21:30:36.747868000