Я пытаюсь экспортировать подмножество pcap файла с заданным начальным и конечным сообщением, эта идентификация начального и конечного сообщения в настоящее время выполняется с использованием нгреп на необработанных данных (потому что у нас нет диссектора для конкретного протокола)
В идеале я хотел бы получить номер кадра в файле pcap идентифицированного начального и конечного сообщения и использовать его для фильтрации. К сожалению нгреп не может отображать номер кадра (как в первом столбце, если я смотрю в wirehark), поэтому единственный «уникальный» идентификатор, который я могу придумать, - это отметка времени.
Затем я пытаюсь отфильтровать исходный файл pcap по диапазону отметок времени, но у меня возникают проблемы с editcap и цирк не поддерживает второй формат метки времени в качестве входных данных, что дает мне много лишних данных.
Предложения, как с этим справиться? Открыт для альтернативных инструментов и способов решения проблемы.
Решили добавить в конвейер дополнительный шаг для решения проблемы, теперь решение выглядит так:
захват -> ngrep для определения начального и конечного кадра + захват их метки времени -> tshark с диапазоном временных меток + захват # кадра из вывода -> editcap для создания нового файла подмножества pcap с указанием номера начального кадра и # конечного кадра из предыдущего шага .