從cap文件中逐個讀取tcp數據包？

Question

可以從文件中逐一讀取數據包嗎？
我想在這種情況下根據數據包的內容來拆分我的cap文件，比如當我捕獲一個長期的數據包流時，我只需要一些數據包來抽象，例如，我只想抽象一個tr069會話，從一個rpc調用到響應結束，然後將這些數據包重定向到一個文件，當然，他們可以混合很多其他數據包，這沒有問題，我只需要在這些數據包期間，然後保留結果文件作爲我的記錄，那麼該怎麼辦呢？
tcpdump或tshark或任何其他的UNIX應用程序？

Answer 1

也許tcpdump的過濾器可以解決您的問題。 您可以使用tcpdump來讀取您的cap文件，並將過濾後的結果直接輸出到文件中。 示例：pcap-filter(7)

tcpdump -r big.pcap -w small.pcap "src port 2438" 

參見手冊頁瞭解更多有關過濾器。