1、使用tshark编辑pcap文件
//过滤掉不是tcp的数据包 tshark -r sichuandianli.pcap -w tcp_output.pcap -Y "tcp" //过滤掉消息长度大于1500字节的数据包 tshark -r outcap.pcap -Y "frame.len <= 1500" -w out_filter.pcap //过滤掉消息长度大于1500字节和不是tcp的数据包 tshark -r path/to/pcap/file.pcap -Y “frame.len <= 1500 || tcp” -w path/to/new/pcap/file.pcap
其中-r 后的是您要过滤的pcap文件的路径,-w 后的是您要导出的新pcap文件的路径
2、将大的pcap文件切割为小的pcap文件
//按包数量分割:输出的每个文件都有count个数据包,以output-NNN.pcap命名 editcap -c count input.pcap output.pcap tcpdump -r chicago.pcap -c 1000 -w output.pcap
标签:文件,tshark,pcap,tcp,编辑,output,数据包 From: https://www.cnblogs.com/mango1997/p/17337543.html