Я хочу сначала фильтровать 100 пакетов внутри файла pcap и показывать результат на stdout. для фильтрации первого пакета 100 я использовал ниже команд:перенаправить вывод editcap в tcpdump
editcap -r test.pcap output.pcap 1-100
для отображения результата и фильтрации пакетов для дальнейшей цели я хочу использоваться ТСРйитром.
tcpdump -tttt tcp and host ip 192.168.1.1 -r inputfile.pcap
я хочу, чтобы перенаправить вывод editcap на TCPDUMP, как это:
editcap -r test.pcap - | tcpdump -tttt tcp and host ip 192.168.1.1 -r -
, но в этой команде я не мог фильтровать первые 100 пакетов. Можно ли это сделать? Если нет, то можно отредактировать вывод editcap в RAM, а затем tcpdump, прочитанный из RAM?
спасибо в продвинутом виде.
P.S Кстати, я не хочу использовать приведенную ниже команду, потому что эта команда считывает весь пакет внутри файла. Мне нужно, чтобы команда прочитала несколько пакетов внутри файла pcap и показывает, что потом была закончена работа.
tshark -r ~/test1.pcap -R "frame.number<20 and frame.number>10"
в предоставленной команде вы не поместили какой-либо переключатель в editcap или tcpdump для фильтрации первых 100 кадров в файле pcap. в editcap должен положить 1-100 в конце команды, например, как editcap -r test.pcap output.pcap 1-100. позвольте мне очистить свой вопрос, я хочу фильтровать пакеты в файле pcap с фильтрами BPF и некоторым фильтром, чтобы показать номера кадров spesifice. первый фильтр BPF это нормально, но я хочу, чтобы какой-то фильтр отображался с номера кадра от 10 до 20. В editcap я поставил 10-20 в конце команды, и он отлично работает, потому что в редакторе нет фильтра BPF I хотите вывести PIPE в команду tcpdump. – omid
эта команда (tshark -r ~/test1.pcap -R "frame.number <20 и frame.number> 10") предоставляет то, что я хочу, но проблема заключается в том, что tshark считывает весь файл pcap. преимущество editcap в tshark - это editcap, не читающий весь файл pcap, а только определенные кадры в команде. – omid
Я отредактировал команду в ответе, чтобы выбрать первые 100 пакетов. –