Я могу получить следующую информацию из .pcap:
================================================================================
IPv4 Conversations
Filter:ip.addr==1xx.1xx.0.1xx
| <- | | -> | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
1xx.1xx.0.1xx <-> xx.xx.xxx.1xx 655 104293 845 427945 1500 532238
1xx.1xx.0.1xx <-> x1.x4.x0.xx6 356 56107 571 439283 927 495390
но мне нужна продолжительность разговора между одним ip и другим ... в Wireshark я могу скопировать эту информацию, но в tshark я не могу. кто-нибудь знает как?
Вы можете перенаправить в файл, вот пример:
$ tshark -r test_04.pcap -q -z conv,ip,ip.addr==10.10.10.20 > conv_10101020.txt