1. дома
  2. Вопрос и ответ
  3. Получите первый и последний раз из файла pcap с помощью инструментов командной строки Wireshark (например, tshark)

Получите первый и последний раз из файла pcap с помощью инструментов командной строки Wireshark (например, tshark)

2016-09-13 3 views
1

У меня есть огромная коллекция файлов PCAP, некоторые из которых были «тронуты» с момента их захвата. Это означает, что временная метка системы в файле может не совпадать с временем сбора данных. Кроме того, большинство файлов являются автосохранениями из Wireshark, и иногда хост-компьютер не получает данные от крана до момента захвата, поэтому, если это происходит сразу после автосохранения файла, следующий последовательный файл фактически имеет захват до время окончания предыдущего файла.Получите первый и последний раз из файла pcap с помощью инструментов командной строки Wireshark (например, tshark)

У меня есть автоматический парсер, который использует tshark для прохождения этих файлов. Тем не менее, для запуска каждого файла требуется около 2 минут, и у меня есть десятки тысяч файлов, и я не буду знать, что есть проблема с временной меткой до тех пор, пока она не будет запущена через файлы проблем.

Есть ли простой способ захватить первое «время эпохи» и последнее «время эпохи» из файла PCAP с помощью tshark (или другого инструмента командной строки) без сканирования всего файла?

источник

2016-09-13 Trashman

ответ

2

Нет (не с tshark).

Однако Wireshark предоставляет программу capinfos, которая считывает файл захвата, чтобы получить информацию о файле захвата, такую ​​как время начала, время окончания, количество пакетов и т. Д. (Подробнее см. Справку).

capinfos не рассекает и так будет намного быстрее, чем tshark.

$capinfos -a -e wireless_080224_first.pcap.gz 
File name:   wireless_080224_first.pcap.gz 
First packet time: 2008-02-24 13:10:09.637336 
Last packet time: 2008-02-24 13:40:23.026171 

$capinfos -T -r -a -e wireless_080224_first.pcap.gz 
wireless_080224_first.pcap.gz 2008-02-24 13:10:09.637336  2008-02-24 13:40:23.026171

; Выход

$capinfos wireless_080224_first.pcap.gz 
File name:   wireless_080224_first.pcap.gz 
File type:   Wireshark/tcpdump/... - pcap (gzip compressed) 
File encapsulation: Ethernet 
File timestamp precision: microseconds (6) 
Packet size limit: file hdr: 65535 bytes 
Number of packets: 15 k 
File size:   12 MB 
Data size:   13 MB 
Capture duration: 1813.388835 seconds 
First packet time: 2008-02-24 13:10:09.637336 
Last packet time: 2008-02-24 13:40:23.026171 
Data byte rate:  7705 bytes/s 
Data bit rate:  61 kbps 
Average packet size: 894.31 bytes 
Average packet rate: 8 packets/s 
SHA1:    222837342c170e8fb0c2673aef9c056a2ddc08ae 
RIPEMD160:   ecf83704b912da3d2f69f4257fa9ee1658aac6cb 
MD5:     b82eda24d784e69ac0828a4ebffed885 
Strict time order: True 
Number of interfaces in file: 1 
Interface #0 info: 
    <snip>

источник

2016-09-14 15:41:34 willyo

0

capinfos По умолчанию это лучшее решение, но если у вас нет доступа к нему или хотите использовать tshark это то, как вы можете это сделать

tshark -r $file -Tfields -e frame.time_delta | sort -n | tail -1

источник

2016-09-27 16:59:43 Moshohayeb

Смежные вопросы

 Смежные вопросы