我有一个场景,其中有一个大块 PCAP 文件包含不同的流(共享源 IP 和端口、目标 IP 和源以及 TCP/UDP)。
我想知道是否可以使用 tshark 将这个大 pcap 文件拆分为不同的 pcap 文件流。每个 PCAP 文件包含一个流程。
我找到了这段代码,但它适用于 TCP 连接
对于tshark -r ~/Downloads/http.cap -T fields -e tcp.stream | 中的流排序 -n |唯一性
做
回显$stream
tshark -r ~/Downloads/http.cap -w stream-$stream.cap -R "tcp.stream==$stream"
完成
我正在寻找如何拆分 UDP 连接?
非常感谢您提前提供的帮助。 迈克
最佳答案
SplitCap是你的 friend 。
SplitCap 是一个开源 pcap 文件分割器。
默认情况下,它根据 UDP 和 TCP session 将 pcap 拆分为多个文件。每个 session 的输出是一个文件。
$ splitcap -r yourfile.pcap
您可以在我关于 SplitCap and TShark 的文章中阅读更多提示和技巧。
关于linux - tshark 过滤 UDP 流,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17182036/