我正在尝试过滤远程 AP 捕获的捕获文件。如果我将文件拉到我的笔记本电脑上,我可以在 Wireshark 中打开并解码为 peekremote,并创建显示过滤器 EAPOL 来获取我想要的数据包。
但是,我在捕获服务器上有大约 100Gbs 的数据,我想知道是否可以直接在 Linux 服务器上使用 Tshark 或其他工具来执行此操作
像这样的东西,但这只是复制文件,我只想将文件输出到 EAP 流量。有人对我不习惯与 tshark 打交道有任何想法吗?
tshark -r capture-18.pcap -J eapol -w test.pcap
答案1
抱歉,在玩了一会儿之后我解决了这个问题。这是一个简单的-Y过滤器
tshark -r in.pcap -Y eapol -w out.pcap