擅长:python、mysql、java
<p>tshark不是这项工作的最佳工具。我对<a href="http://research.wand.net.nz/software/libtrace.php" rel="nofollow noreferrer">libtrace</a>(<a href="https://github.com/wanduow/libtrace" rel="nofollow noreferrer">github link</a>)有很好的经验,它为处理捕获文件提供了一个很好的工具箱。具体来说,在您的例子中,<a href="https://github.com/wanduow/libtrace/wiki/tracesplit" rel="nofollow noreferrer">tracesplit</a>工具。在</p>
<p>请注意,它们的大多数示例都使用了一种称为erf的捕获格式,而不是pcap。但是他们<a href="https://github.com/wanduow/libtrace/wiki/Supported-Trace-Formats" rel="nofollow noreferrer">support pcap</a>文件,你只需要指定它。在</p>
<p>等效的tracesplit命令类似于:</p>
<p><code>tracesplit starttime=1484908320 endtime=1484937840 -compress-type=none pcapfile:dia5_20Jan17.pcap pcapfile:1.pcap</code></p>