我正在寻找一种如何操纵PCAP文件时间戳的方法。 例如,减去数据包或添加的次数。 是否可以在wireshark或tshark上这样做?或者我是否需要编写一些lua代码来执行此操作?
如果您有所了解,请告诉我。
由于
答案 0 :(得分:1)
您可以使用editcap调整时间戳。例如,要在1小时后调整所有数据包的时间戳:
editcap -t 3600 file.pcap file_plus1hour.pcap
您还可以使用"编辑 - >调整Wireshark中的时间戳。时移......" ;但是,它目前无法从Wireshark保存时移文件。