Как определить размер фрейма файла .pcapng, прежде чем полностью его открыть?

Question

Я получаю огромные файлы .cap от iptrace на AIX. Файл составляет около 800 МБ. Я нахожусь в MacOS, и tshark работает целый день, разбирая его.

CPU моего хоста держит 99% занятым. Мне действительно нужно ускорить это.

Я уже добавил -n флаг tshark.

Я думаю о добавлении диапазона кадров в фильтр, который должен сузить количество пакетов для анализа. Но я не знаю общее количество кадров, поэтому не могу реально добавить этот параметр.

1. Могу ли я просмотреть общую информацию о файле .cap, прежде чем полностью ее открыть?
2. Есть ли что-нибудь еще, чтобы сделать замечательную скорость работы tshark?

Спасибо.

Answer 1

Возможно, TShark застрял в бесконечном цикле, и в этом случае проблема не в том, что файл слишком большой (у меня есть захват 776 МБ, и он занимает всего несколько минут, чтобы запустить его через tshark -V, хотя на 2,8 ГГц Core i7 MBP с 16 ГБ основной памяти), проблема заключается в том, что у «TShark/Wireshark есть ошибка».

Сообщите об ошибке the Wireshark Bugzilla, указав команду TShark, которая была запущена в течение дня (все аргументы командной строки). Возможно, вам придется либо предоставить файл захвата для тестирования разработчиками Wireshark, либо запустить тестовые версии TShark.