Точная временная метка Capinfos

Я работаю над скриптом синтаксического анализа для кучи обычных небольших файлов pcap, созданных с помощью tshark.

Что мне нужно, так это извлечь точную (с точностью до миллисекунд) временную метку первого пакета в захвате и последнего. Я попробовал «capinfos myfile», но точность его составляет до секунд, а для захватов, длящихся менее, чем одна секунда, это не очень полезно.

Кто-нибудь знает, как я могу получить эту информацию?


wireshark pcap tshark
person Alexander Filatov    schedule 22.08.2011    source источник

Ответы (1)


arrow_upward
5
arrow_downward

Запустите capinfos -c, чтобы отобразить количество пакетов:
$ capinfos -c lmt_04.pcap
Имя файла: lmt_04.pcap
Количество пакетов: 1645

Запустите поля TShark -T, чтобы вывести frame.time первого и последнего пакета:
$ tshark -r lmt_04.pcap -R "frame.number==1 || frame.number==1645" -T fields -e frame.time< br> 28 августа 2009 г. 21:29:24.491572000
28 августа 2009 г. 21:30:36.747868000

person Community    schedule 22.08.2011