我收集了大量的PCAP文件,其中一些文件因为被捕获而被“触及”。这意味着文件上的系统时间戳可能不等于数据捕获的时间。此外,大多数文件都是来自Wireshark的自动保存,有时主机计算机直到捕获时间之后才从数据中获取数据,因此如果在文件自动保存之后发生这种情况,则下一个顺序文件实际上会在之前捕获上一个文件的结束时间。
我有一个自动解析器,它使用tshark来浏览这些文件。但是,每个文件运行大约需要2分钟,而且我有数万个文件,在问题文件运行之前我不会知道时间戳问题。
有没有一种简单的方法可以使用tshark(或其他命令行工具)从PCAP文件中获取第一个“纪元时间”和最后一个“纪元时间”而无需扫描整个文件?
答案 0 :(得分:4)
否(不是git remote add -t <branch_name> -f origin https://<repo_address>
git checkout <branch_name>
)。
但是,Wireshark提供了一个程序tshark,该程序读取捕获文件以获取有关捕获文件的信息,如开始时间,结束时间,数据包数等。(请参阅帮助详情)。
capinfos没有解剖,所以会比capinfos快得多。
tshark默认输出
$capinfos -a -e wireless_080224_first.pcap.gz
File name: wireless_080224_first.pcap.gz
First packet time: 2008-02-24 13:10:09.637336
Last packet time: 2008-02-24 13:40:23.026171
$capinfos -T -r -a -e wireless_080224_first.pcap.gz
wireless_080224_first.pcap.gz 2008-02-24 13:10:09.637336 2008-02-24 13:40:23.026171
答案 1 :(得分:0)
capinfos是最优秀的解决方案,但如果您无法访问或想要使用tshark,那么您可能会想要这样做
tshark -r $file -Tfields -e frame.time_delta | sort -n | tail -1