獲取tcpstream - wireshark vs tshark

Question

我正在試圖從捕獲中獲取TCPStream，大小爲24M。我可以用wireshark獲得它，但是我需要一個沒有界面的命令來獲取它。

我通過嘗試使用小於1M的捕獲中的TShark開始，並且我能夠在相同捕獲中獲得tcpstream等於wireshark。在用24M捕捉時，我不能。 wireshark中的TCPStream很大，與TShark中的不匹配。

我不明白是什麼問題。

我使用下面的命令：tshark -r cap.pcapng -T fields -e data

任何想法，問題可能是什麼？或者它與什麼有關？

我也可用於解決我的問題的其他解決方案。

謝謝。

Answer 1

可能不是最有效的方式來做到這一點，但在這裏。

從跟蹤文件制動到多個文件開始，您可以使用與Wireshark一起安裝的editcap。用-c設置所需的參數。這可能是一個更好的方式，以及請做調查（我沒有）

現在你有多個文件，這是不是很好的工作，所以你將不得不創建一個批處理文件調用tshark在每個這些文件。打開它們應用的參數並寫入到一個新文件（我再次告訴你這是效率不高）

-r <infile> -R "here goes you parameters" -w <outfile>

還沒出現，我們有一堆創建新的文件，但我們最好把它們合併成一個單一的文件易用性和實現比我們開始時小得多的文件。爲此，我建議mergecap -a

mergecap -a -w <outfile> <infile1> <infile2>......<infilen>

希望它可以幫助