据我所知,流是一系列数据包,我想提取流的总数而不是单个数据包。
我可以使用-sha命令使用tshark获取一个流的数据包:
C:\Program Files\Wireshark>tshark -Y tcp.stream==1 -r <pcap file> -T fields -e frame.number\
-e frame.time -e frame.len -e ip.src -e ip.dst -e ip.proto -e ip.ttl\
-e tcp.window_size_value -e tcp.srcport -e tcp.dstport -e udp.srcport\
-e udp.dstport -e _ws.col.Info -E header=y -E separator=, -E quote=d -E occurrence=f\
> <file.csv>
但是我希望它能让我在Src和Dest ip地址之间产生流,而不是属于1流的所有数据包,类似于research paper的图6。
我是否可以知道如何为包含数百万个数据包的大型pcap文件执行此操作?