linux下如何编辑拆分pcap数据包
合并数据包
mergecap -w dest.pcap s1.pcap s2.pcap
抓取过滤数据包
tshark -r 1.pcap radius -w radius.pcap
拆分数据包
editcap -c 1000 all.pcap split1.pcap
解析pcap包,并导出指定字段
tshark -r aa.pcap -T fields -e ip.src -e tcp.srcport -e ip.dst -e tcp.dstport -e ip.proto -e eth.src -E separator=, > out.csv
tshark -r 297_diameter.pcap -T fields -e ip.src -e tcp.srcport -e ip.dst -e tcp.dstport -e ip.proto -e eth.src -E separator=, | sort -u > out2.csv
#-E separator=, 这个是设置分隔符为','
每个字段导出需要在前面加 -e
| sort -u 去重
浙公网安备 33010602011771号