我有数百个捕获文件,需要总结对服务器向大量客户端发出的特定请求的响应。我正在使用脚本来使用tshark处理捕获文件。我想以编程方式设置frame.ref_time
匹配某个显示过滤器的数据包,然后使用frame.time_relative < x seconds
重新扫描,以适应我的目的(我已经使用tcp.stream
作为过滤器,但需要进一步限制)。如何以编程方式在wireshark capture中设置标签frame.ref_time
tshark和editcap似乎都没有这样做,但我不确定。当然这个能力不限于gui?
如何通过脚本以编程方式设置frame.ref_time
? 设置了标签后,是否有清除所有标签的直接方式,还是应该优雅并执行反向操作?
谢谢。这工作完美。我最终得到了我需要的每个流的两个相关帧,而没有额外的混乱。它比我之前的解决方案(尚未完成运行)要快得多,尽管它会多花一点时间。 – gloopy