获取tcpstream - wireshark与tshark

Question

我正在试着从捕获中获取TCPStream，大小为24M。我可以用wireshark获取它，但是我需要一个没有接口的命令来获取它。

我首先尝试了TShark在不到1M的捕获中，我能够在相同的捕获中获得与wireshark相等的tcpstream。在24M的捕获中，我不能。wireshark中的TCPStream很大，与TShark中提供的不匹配。

我不明白问题出在哪里。

我使用以下命令：tshark -r cap.pcapng -T fields -e data

你知道问题出在哪里吗？或者它与什么有关？

我也可以使用其他解决方案来解决我的问题。

谢谢。

Answer 1

这可能不是最有效的方法，但它就在这里。

首先，将您的跟踪文件分解为多个文件，您可以使用随Wireshark一起安装的editcap。使用-c设置所需的参数。有可能有更好的方法，请调查(我没有)

现在你有了多个文件，使用起来并不是很好，所以你必须创建一个批处理文件，对每个文件调用tshark。打开它们，应用参数，并写入一个新文件(我再一次告诉你，它的效率很低)

-r <infile> -R "here goes you parameters" -w <outfile>

仍然没有，我们已经创建了一堆新文件，但我们最好将它们合并到一个文件中，以便于使用，并实现一个比我们开始时小得多的文件。为此，我建议使用mergecap -a

mergecap -a -w <outfile> <infile1> <infile2>......<infilen>

希望能有所帮助