我有一些 PCAP 文件,我正在尝试从中提取元数据。我使用 tshark 执行此操作,打开文件,提取几十个字段,然后将表写入磁盘。我注意到这个过程可能非常耗时,对于单个 PCAP 文件有时长达 30 分钟。我使用默认设置 ( ) 对数据执行反向 DNS,-N dmN并且在 Wireshark 中具有相同的反向 DNS 设置。据我所知,相对于 tshark/Wireshark 执行的其他进程来说,反向 DNS 是一个相当耗时的过程。但是,当在 Wireshark 和 tshark 中打开同一文件时,Wireshark 在几秒钟内加载该文件,而 tshark 则需要几分钟。我的 tshark 命令是:
tshark -r my_pcap_file.pcap \
-2 \
-T fields \
-E separator=/t \
-E header=y \
-E quote=d \
-e frame.time_epoch \
-e frame.len \
-e frame.protocols \
-e _ws.malformed \
-e _ws.col.Protocol \
-e _ws.col.Length \
-e ip.rec_rt \
-e ip.src \
-e ip.dst \
-e ip.src_host \
-e ip.dst_host \
> my_pcap_file.tsv
这种速度差异有已知的原因吗?