Wireshark 如何使用editcap拆分基于非工作时间列的PCAP文件?
我有一个从wireshark导出的PCAP文件,它相当大。PCAP如下所示:Wireshark 如何使用editcap拆分基于非工作时间列的PCAP文件?,wireshark,pcap,editcap,Wireshark,Pcap,Editcap,我有一个从wireshark导出的PCAP文件,它相当大。PCAP如下所示: No. Time Source Destination Protocol Length Info 1 0 192.168.100.180 8.8.8.8 DNS 95 Standard query 0xf948 A detectportal.firefox.com OPT 2 0.000159827 192.168.100.180 8.8.8.8 DNS 95 Standard quer
No. Time Source Destination Protocol Length Info
1 0 192.168.100.180 8.8.8.8 DNS 95 Standard query 0xf948 A detectportal.firefox.com OPT
2 0.000159827 192.168.100.180 8.8.8.8 DNS 95 Standard query 0xaf8a AAAA detectportal.firefox.com OPT
3 0.002743676 8.8.8.8 192.168.100.180 DNS 206 Standard query response 0xf948 A detectportal.firefox.com CNAME detectportal.prod.mozaws.net CNAME prod.detectportal.prod.cloudops.mozgcp.net A 34.107.221.82 OPT
4 0.002774349 8.8.8.8 192.168.100.180 DNS 218 Standard query response 0xaf8a AAAA detectportal.firefox.com CNAME detectportal.prod.mozaws.net CNAME prod.detectportal.prod.cloudops.mozgcp.net AAAA 2600:1901:0:38d7:: OPT
12 0.168337688 192.168.100.180 8.8.8.8 DNS 82 Standard query 0x6b67 A mozilla.org OPT
13 0.170840019 8.8.8.8 192.168.100.180 DNS 98 Standard query response 0x6b67 A mozilla.org A 63.245.208.195 OPT
14 0.201381247 192.168.100.180 8.8.8.8 DNS 82 Standard query 0xce22 AAAA
我想editcap可能会帮助我,但我不确定正确的命令是什么。(直到~2天前才听说过editcap lol)基于此,我觉得你有一个来自数据包捕获的文本文件,而不是一个实际的pcap文件,即,在中的文件。editcap仅适用于后者。你能澄清一下你到底有什么吗?@SteffenUllrich我两者都有。然而,事实上,我确实想出了如何做到这一点,并计划在一点时间内回答我自己的问题。因此,为什么它们是两个不同的问题!:P