-
问题背景:在Linux服务器上使用tcpdump捕获到的数据包存为.pcap形式,想从里面提取某个IP的UDP数据包,但是发现数据包太大(几十上百G),wireshark打不开,经同学告知可以使用wireshark的命令行工具tshark进行过滤提取。
-
tshark的读包可以满足的过滤条件和wireshark是一模一样的,所以可以满足UDP和特定IP这两个过滤条件。
tshark -r test.pcap -R "udp and ip.addr==x.x.x.x" -w wanted.pcap
- 使用tshark -help可以得到选项的简单介绍,具体的需要查阅官方文档。
- 一些常用选项用法可以参照博客 网络分析利器wireshark命令版(2):tshark使用示例或者 Wireshark命令行工具tshark详解(含例子)-01。
网友评论