0
我想先过滤一个pcap文件中的100个数据包,并在stdout上显示结果。用于过滤第一100包我用下面的命令:将editcap的输出重定向到tcpdump
editcap -r test.pcap output.pcap 1-100
为示出了用于进一步目的欲使用tcpdump的结果和过滤包。
tcpdump -tttt tcp and host ip 192.168.1.1 -r inputfile.pcap
我想重定向editcap的输出和tcpdump,像这样:
editcap -r test.pcap - | tcpdump -tttt tcp and host ip 192.168.1.1 -r -
但在这个命令我不可能过滤前100个数据包。是否有可能这样做? 如果不是,可以reditet editcap的输出到RAM然后从RAM读取tcpdump?
感谢先进。 P:顺便说一句,我不想使用下面的命令,因为这个命令读取文件里面的所有数据包。我需要命令读取pcap文件中的一些数据包,然后显示完成该作业。
tshark -r ~/test1.pcap -R "frame.number<20 and frame.number>10"
在提供的命令中,您没有在editcap或tcpdump中放置任何开关来过滤pcap文件中的前100帧。在editcap中,应该在命令结尾放置1-100,如editcap -r test.pcap output.pcap 1-100。让我清除我的问题,我想用BPF过滤器和一些过滤器来过滤pcap文件中的数据包以显示特定的帧编号。第一个BPF过滤器没问题,但是我想在框架编号10到20之间放一些过滤器。在editcap中,我把10-20放在命令的末尾,它完美地工作,因为editcap没有BPF过滤器I希望PIPE输出到tcpdump命令。 – omid
这个命令(tshark -r〜/ test1.pcap -R“frame.number <20 and frame.number> 10”)提供了我想要的,但问题是tshark读取整个pcap文件。 editcap对tshark的优势是editcap不会读取整个pcap文件,只是命令中的特定帧。 – omid
我在回答中编辑了命令以选择前100个数据包。 – 2015-08-04 07:53:33