可以从文件中逐个读取数据包吗? 我想在这样的条件下拆分我的cap文件取决于数据包的内容,例如当我捕获长期数据包流时,我只需要一些数据包来抽象,例如,我只想抽象tr069会话,从做一个rpc调用到响应的结束,然后将这些数据包重定向到一个文件,当然,他们可以混合许多其他数据包,这没问题,我只是在看到期间需要这些数据包,然后我将结果文件保存为我的记录,那怎么办呢? tcpdump或tshark或任何其他unix utils?
答案 0 :(得分:1)
也许tcpdump的过滤器可以解决您的问题。 您可以使用tcpdump读取您的cap文件,并将过滤结果直接输出到文件。 例如:
tcpdump -r big.pcap -w small.pcap "src port 2438"
有关过滤器的详情,请参阅pcap-filter(7)的手册页。