Filtre a ppce fichier de vidage pour une période spécifique

Est-il un moyen facile de créer un fichier pcap pour les paquets relatifs à un datetime gamme peut-être à l'aide de tshark, tcpdump ou un autre outil de ligne de commande?

tshark -R avec frame.time semble prometteur, mais je n'ai pas été en mesure de travailler encore...

MODIFIER

La commande finale:

editcap -F libpcap -A "2013-07-20 23:00:00" -B "2013-07-20 23:20:00" input.pcap output.pcap

OriginalL'auteur Filippo Vitale | 2013-11-13

13

Ce que vous avez besoin est editcap. C'est un outil de ligne de commande qui fait partie de la Wireshark famille.

Découvrez la page de man à http://www.wireshark.org/docs/man-pages/editcap.html.

Il faut un fichier pcap en entrée, et écrit une sortie. Vous pouvez opérer l'infile pour filtrer le contenu, par exemple, avec début et de la fin des temps, le paquet de tranches de numéros, composant logiciel enfichable de la longueur du paquet, en ajustant les horodatages (!), etc. C'est un outil formidable.

OriginalL'auteur James

Vous devez vous connecter pour publier un commentaire.