我正试图从捕获中获取TCPStream,大小为24M。我可以通过wireshark获得它,但我需要一个没有接口的命令来获得它。
我开始尝试在不到1M的捕获中使用TShark,并且我能够在相同的捕获中使tcpstream等于wireshark。在24M的捕捉中,我做不到。 wireshark中的TCPStream很大,与TShark中给出的不匹配。
我无法理解问题所在。
我正在使用以下命令:tshark -r cap.pcapng -T fields -e data
知道问题可能是什么?或者它与什么有关?
我也可以使用其他可以解决我问题的解决方案。
感谢。
答案 0 :(得分:1)
可能不是最有效的方法,但在这里。
首先将跟踪文件制成多个文件,然后使用随Wireshark一起安装的editcap。使用-c设置所需参数。还有一个更好的方法,请调查(我没有)
现在您有多个文件并不是很好用,因此您必须创建一个批处理文件,在每个文件上调用tshark。打开它们应用参数并写入一个新文件(再次,我告诉你它没有效率)
-r <infile> -R "here goes you parameters" -w <outfile>
仍然没有我们创建了大量新文件但我们最好将它们合并到一个文件中以便于使用,并且实现比我们开始时更小的文件。为此,我建议mergecap -a
mergecap -a -w <outfile> <infile1> <infile2>......<infilen>
希望有所帮助