提取pcap中的特定时间戳周期

Question

我有一个大的pcap，我的目标是只提取跟踪的特定时间戳周期(例如，数据集时间从0开始到200，但我只想要50-100秒)。

我尝试使用社论工具并使用以下命令

 editcap -A "50.000000000" -B "100.000000000"  input_file output_file

因为我的dataset时间域显示了这种格式。问题是，它会产生错误

"editcap: "50.000000000" isn't a valid time format"

例如，根据wireshark网站的说法，我尝试了其他方式，格式应该是这样的，并且以同样的错误结束。

The time is given in the following format YYYY-MM-DD HH:MM:SS

在net中讨论的一些解决方案是使用报价，但也给了我错误。

"YYYY-MM-DD HH:MM:SS"

问题是，使用社论工具实现上述目标的真正格式是什么？

Answer 1

由于捕获的日期以UTC时间为单位，然后可能与您看到的不同，请使用以下两个命令：

>> capinfos -a -e 201609011400.pcap 
File name:           201609011400.pcap
Packet size limit:   inferred: 34 bytes - 96 bytes (range)
Start time:          Thu Sep  1 07:00:00 2016
End time:            Thu Sep  1 07:15:00 2016
>> editcap -A "2016-09-01 07:00:00" -B "2016-09-01 07:05:00" 201609011400.pcap 201609011400_1st_third.pcap

Answer 2

editcap  -A "2006-12-15 13:17:10" ...

我(在Windows上)工作得很好。

注意:您必须使用-tad选项(不使用小数秒)使用tshark显示的时间。

也就是说:指定子秒( 2006-12-15 13:17:10.1234 )将忽略子秒部分.

Answer 3

您可以尝试这样做，而不是使用社论：

$ tshark -r input.pcap -R "frame.time_relative >= 50 && frame.time_relative <= 100" -w output.cap