gpt4 book ai didi

linux - 当 tshark 命令找到正确的数据包时停止它

转载 作者:太空宇宙 更新时间:2023-11-04 04:23:58 28 4
gpt4 key购买 nike

我有一个相当大的 Pcap 文件。我只想读取这个文件中的一个数据包,例如第10个数据包。

我有一个像这样的 tshark 命令:

tshark -r myfile.pcap frame.number == 10 -V

即使找到第 10 个数据包,该命令也会继续搜索整个文件。这需要很长时间。

我更喜欢在发现数据包时停止命令,我该怎么做?

感谢您的任何建议。

最佳答案

editcap(wireshark 包的一部分)可用于将一个或多个特定帧从 pcap 文件提取到新的 pcap 文件。

然后您可以对新文件运行 tshark。(这是一个两步过程,但对于大型 pcap 文件,它所需的时间比 tshark 读取整个文件所需的时间要少)。

Usage: editcap [options] ... <infile> <outfile> [ <packet#>[-<packet#>] ... ]

Packet selection:
-r keep the selected packets; default is to delete them.

有关 editcap 选项的完整列表,请参阅 editcap -h

关于linux - 当 tshark 命令找到正确的数据包时停止它,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10830676/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com