在tcpdump数据包捕获中查找时间戳

时间:2015-05-08 08:53:18

标签: unix tcl wireshark

我需要验证在两部手机之间流动的数据包,因为我已经通过使用此命令收集了tcpdump: - tcpdump -s 65535 -w filename.pcap

然后我通过命令将此文件转换为文本文件: - tshark -V -r packetTB.pcap > asd.txt

但是在这个文本文件中我没有看到任何时间戳可用,unix中是否有任何命令我也可以获得时间戳,是否有任何方法可以通过tshark命令获取时间戳

1 个答案:

答案 0 :(得分:1)

根据Prabhu的回答,除非你正在使用的tshark版本有可怕的错误,否则应该有一行代表

asm_multi:
    pushl %ebp
    movl %esp,%ebp
    movl 8(%ebp),%eax       # fetch p
    shll $1, (%eax)         # double *p by shifting 1 bit to the left
# alternatively
#   movl (%eax), %edx       # fetch *p
#   addl %edx, (%eax)       # add *p to *p, doubling it
    movl %ebp,%esp
    popl %ebp
    ret

在tshark的输出中;这是时间戳。

您还可以使用tcpdump获取时间戳。

如果只有您想要的数据包的某些字段,请尝试tshark的Arrival Time: May 19, 1999 17:48:39.708517000 PDT 选项,使用-T fields标志指定所需字段的名称。例如,-e是时间戳字段。