获取tcpstream - wireshark vs tshark

Question

我正在试图从捕获中获取TCPStream，大小为24M。我可以用wireshark获得它，但是我需要一个没有界面的命令来获取它。

我通过尝试使用小于1M的捕获中的TShark开始，并且我能够在相同捕获中获得tcpstream等于wireshark。在用24M捕捉时，我不能。 wireshark中的TCPStream很大，与TShark中的不匹配。

我不明白是什么问题。

我使用下面的命令：tshark -r cap.pcapng -T fields -e data

任何想法，问题可能是什么？或者它与什么有关？

我也可用于解决我的问题的其他解决方案。

谢谢。

Answer 1

可能不是最有效的方式来做到这一点，但在这里。

从跟踪文件制动到多个文件开始，您可以使用与Wireshark一起安装的editcap。用-c设置所需的参数。这可能是一个更好的方式，以及请做调查（我没有）

现在你有多个文件，这是不是很好的工作，所以你将不得不创建一个批处理文件调用tshark在每个这些文件。打开它们应用的参数并写入到一个新文件（我再次告诉你这是效率不高）

-r <infile> -R "here goes you parameters" -w <outfile>

还没出现，我们有一堆创建新的文件，但我们最好把它们合并成一个单一的文件易用性和实现比我们开始时小得多的文件。为此，我建议mergecap -a

mergecap -a -w <outfile> <infile1> <infile2>......<infilen>

希望它可以帮助