我正在使用 tshark 根据显示/读取过滤器从一个文件到另一个文件过滤一些数据包。
我希望在对多个文件执行多个读取过滤器并将所有内容合并到 out.pcap 后得到一个最终输出文件 out.pcap。
我试图使用 mergecap,但它不允许附加(合并)两个文件并存储在其中一个文件中而不覆盖。
有什么方法可以做到这一点,因为我不想继续创建临时文件并最后将它们合并在一起。
据我所知,使用现有工具这是不可能的,尽管考虑到捕获文件格式的布局方式,应该可以编写一个新工具(或扩展 mergecap)来执行此操作。
在 bash 下执行此操作: 对于 *.pcap 中的文件;执行 echo "$file"; tshark -r "$file" -Y "ip.addr == 8.8.8.8 或 ip.addr == 1.1.1.1" -w /tmp/out.pcap;完成
它会读取当前文件夹下的所有pcap文件,并将out.pcap写入/tmp下。您可以根据需要更改过滤器(“ip.addr == 8.8.8.8 或 ip.addr == 1.1.1.1”)。