-A和-B:我应该使用哪个时区？

Question

我需要在特定的时间范围内从一个大的pcap中提取数据包。我发现-A和-B的编辑选项非常适合这个任务，但我的目标时间范围是划时代的，而-A/B则需要YYYY DD:MM:SS格式的时间。

我的问题是，当我将时代时间转换为YYYY DD:MM:SS时，我应该使用哪个时区？(我不确定这是否相关，但我使用的大pcaps是从不同时区捕获的较小的pcaps的合并)。

我尝试了基于时代时间(frame.time_epoch>=X)的过滤，但tshark似乎资源昂贵，并且经常被我使用的ubuntu服务器杀死。

会感谢你的帮助！

Answer 1

使用您的系统时间。

100%正确。时间被解析，然后传送到一个例程(mtkime())，该例程以机器时区的本地时间将年/月/日/小时/分钟/秒值转换为POSIX时间("Epoch time"，其中" Epoch“是UN*X/POSIX Epoch of 1970-01-01 :00:00 UTC)。

我是对的，捕获时间戳是作为划时代的时间存储在pcap内部的吗？

是。

因此，一旦将系统时间转换为编辑帽，则无论从哪个时区捕获数据包，

都可以提取正确的数据包。

是。