올바른 패킷을 찾으면 tshark 명령을 중지하십시오.

Question

다소 큰 크기의 Pcap 파일이 있습니다. 이 파일에서 하나의 패킷 (예 : 10 번째 패킷)을 읽고 싶습니다.

은 내가 tshark를 명령과 같이 있습니다 : 그것은 10 패킷을 발견 한 경우에도

이

tshark -r myfile.pcap frame.number == 10 -V 

명령은 전체 파일을 검색하는 것입니다. 그것은 오랜 시간이 걸립니다.

내가 패킷을 찾으면 명령을 중지하는 것을 선호합니다. 어떻게 할 수 있습니까?

제안 해 주셔서 감사합니다.

Answer 1

editcap (wireshark 패키지의 일부)은 pcap 파일에서 하나 이상의 특정 프레임을 새로운 pcap 파일로 추출하는 데 사용할 수 있습니다.

그러면 새 파일에서 tshark를 실행할 수 있습니다. (두 단계 프로세스이지만 큰 pcap 파일의 경우 tshark가 전체 파일을 읽는 데 걸리는 시간보다 짧은 시간이 소요됩니다).

Usage: editcap [options] ... <infile> <outfile> [ <packet#>[-<packet#>] ... ] 

Packet selection: 
    -r      keep the selected packets; default is to delete them. 

는 editcap 옵션의 전체 목록 editcap -h를 참조하십시오.