我没有任何关于 tshark 的基础知识,也很难找到任何教程来帮助我解决这个问题。
现在我有一个包含很多网络流的 pcap 文件;时间范围; IP 地址; TCP 端口号; ip addr 发送的数据包数量或 ip addr 接收的数据包数量。
我想做的是,首先让 tshark 从该 pcap 文件中读取,然后使用时间范围过滤掉该时间范围内的所有网络流量,然后使用 ip addr 过滤掉所有网络然后使用 tcp 端口号和 ip addr 发送/接收的数据包数量来最终找到我想要的流。然后按照此流程将整个对话保存到新的 pcap 文件中。
有人可以帮忙吗?我将非常非常感激。
答案1
您可以使用该-r
标志来指定输入文件、-R
指定过滤器,然后-w
将剖析的流量写入输出文件。
您可以在这里获取一些信息TShark 捕获和过滤示例
wireshark-filters 手册页有更多关于它们的信息。