我正在尝试导出数据包捕获文件给定一个开始和结束消息,此开始和结束消息识别当前使用ngrep在原始数据上(因为我们没有针对特定协议的解析器)
理想情况下,我希望获取已识别的开始和结束消息的 pcap 文件中的帧号,并使用它进行过滤。不幸的是ngrep无法显示帧号(如果我在 wireshark 中查看,则在第一列),所以我能想到的唯一“唯一”标识符是时间戳。
接下来我尝试按时间戳范围过滤原始 pcap 文件,但遇到了问题編輯和沙克不支持亚秒时间戳格式作为输入,给我很多多余的数据。
有什么好的办法可以解决这个问题吗?欢迎使用其他工具和方法来解决此问题。
答案1
为了解决这个问题,决定在管道中添加一个额外的步骤,解决方案现在如下所示:
捕获 -> ngrep 识别开始和结束帧 + 获取它们的时间戳 -> tshark 带有时间戳范围 + 从输出中获取帧号 -> editcap 根据上一步中的开始帧号和结束帧号创建一个新的 pcap 子集文件。