Capinfos精确时间戳

Question

我正在编写一个解析脚本，用于使用t鲨创建的一组常规的小pcap文件。

我需要的是提取捕获中的第一个数据包和最后一个数据包的精确时间戳(下到毫秒)。我试过"capinfos“，但是它的精度可以降到几秒钟，而且捕获时间小于1秒，这一点也没有多大帮助。

有人知道我怎么才能得到这些信息吗？

Answer 1

运行capinfo -c以显示数据包数量：

-c lmt_04.pcap $capinfo

文件名: lmt_04.pcap

包数: 1645

运行TShark -T字段以打印第一个和最后一个包的frame.time：

$t鲨-r lmt_04.pcap -R "frame.number==1 \x{##**$} frame.number==1645“-T字段-e frame.time

2009年8月28日21:29:24.491572000

2009年8月28日21:30:36.747868000