Отфильтровать pcap по субсекундной детали?
Я пытаюсь экспортировать подмножество файла pcap с начальным и конечным сообщениями,эта идентификация начального и конечного сообщения в настоящее время выполняется с использованием ngrep необработанных данных (потому что у нас нет анализатора для конкретного протокола)
В идеале я хотел бы получить номер кадра в файле pcap идентифицировать начальное и конечное сообщение и фильтровать его. К сожалению, ngrep не может отобразить номер кадра (как в первом столбце, если я смотрю в wirehark), поэтому единственный «уникальный» идентификатор, который я могу придумать, - это отметка времени.
Далее я ' m пытается отфильтровать исходный файл pcap по диапазону отметок времени, но столкнулся с проблемами, связанными с editcap и tshark , не поддерживающими в качестве входных данных субсекундный формат отметок времени, что дает мне много лишних данных.
Есть предложения, как с этим справиться? Открыт для альтернативных инструментов и способов решения проблемы.
Решил добавить дополнительный шаг в конвейер для решения проблемы, решение теперь выглядит следующим образом:
захват -> ngrep для определения начала и конца кадра + захват их метки времени - > tshark с диапазоном отметок времени + захватить # кадра из вывода -> editcap для создания нового файла подмножества pcap с учетом начального и конечного кадров из предыдущего шага.