我正在使用tshark提取特定的TCP流,并使用-w选项将其写入输出pcap文件。
但是,输出pcap中的帧没有任何时间戳或增量时间(它们都是零,而在原始pcap中是时间戳和帧的增量时间)。
有没有办法确保原始时间戳(来自原始pcap文件)保留在输出pcap中?
我在MacOS上使用TShark 1.10.5(来自/trunk-1.10的SVN Rev 54262)。
谢谢!
答案 0 :(得分:1)
输出pcap中的帧没有任何时间戳或增量时间(它们都是零,而在原始pcap中是时间戳和帧的增量时间。)
这就是技术上称为“bug”的东西。请将其作为the Wireshark Bugzilla上的错误提交;如果你可以附加你的原始pcap文件用于测试目的,那将是好的。 (如果没有,请运行文件命令并显示结果,这样我们就知道输入文件是什么文件类型 - 例如,它可能是pcap-ng文件而不是pcap文件。)