是否有任何简单的方法可以使用tshark,tcpdump或其他命令行工具为与特定日期时间范围相关的数据包创建 pcap文件?
tshark -R的{p> frame.time似乎很有希望,但我还没有能够解决这个问题......
修改
最后的命令:
editcap -F libpcap -A "2013-07-20 23:00:00" -B "2013-07-20 23:20:00" input.pcap output.pcap
答案 0 :(得分:14)
您需要的是editcap。它是一个命令行工具,是Wireshark系列的一部分。
查看http://www.wireshark.org/docs/man-pages/editcap.html的手册页。
它将一个pcap文件作为输入,并写入一个输出。您可以在infile上操作以过滤内容,例如,使用开始时间和结束时间,数据包编号范围,捕捉数据包长度,调整时间戳(!)等。这是一个很棒的工具。