wireshark工具集

tshark

• 查看pcap文件第一個包的時間，當文件名不包含時間信息時很是有幫助 

　　　tshark -c 1 -T fields -e frame.time -r test.pcap

dumpcap

editcap

基本語法

editcap [options] ... <infile> <outfile> [ <packet#>[-<packet#>] ... ]

主要參數分類含義權做解說

包選擇類

-r 保留選擇的包；默認爲刪除。
-A <start time> 選擇全部包的時間戳大於該時間的包。
-B <stop time> 選擇全部包的時間戳小於該時間的包。

刪除重複包類

-d 刪除重複的包（默認5個內進行比對）。
-D <dup window> 刪除重複的包，並指定在<dup window>個包內進行比對<dup window>的範圍爲0-1000000。
-w <dup time window> 刪除重複的包，並指定時間在<dup time window>以前的數據包才作重複刪除操做。

處理類

-s <snaplen> 將數據包截斷成長度爲<snaplen>的數據包。
-C <choplen> 將包尾的<choplen>個字節砍掉。
-t <time adjustment> 調整包的時間戳;<time adjustment> 便可覺得正數，也能夠爲負數。
-E <error probability> 按照<error probability>的比例隨機制造錯包，例如<error probability>爲0.05，則包文件中5%的包會隨機被配置爲各類錯包。

輸出類

-c <packets per file> 按包個數分割包文件，如<packets per file>爲1000，則將原始包文件分割成多個文件，每一個文件的包個數爲1000，固然最後一個文件的包數能夠小於等於1000.
-i <seconds per file> 按時間分割包文件，如<seconds per file>爲10，則每一個被分割的文件中的包時間戳均在10s內，且每一個包的時間戳又會從0開始.
-F <capture type> 設置輸出文件的格式，默認爲pcapng。
-T <encap type> 設置輸出文件中包封裝的類型，默認和原始包封裝類型一致。

使用示例

1.將數據包截斷爲64字節長度，且轉換爲snoop的格式：
editcap -s 64 -F snoop capture.pcap shortcapture.snoop

2.刪除原始文件中的第1000個數據包：
editcap capture.pcap sans1000.pcap 1000

3.提取原始文件中的第200到750個包：
editcap -r capture.pcap small.pcap 200-750

4.提取原始文件中的第 1, 5, 10 to 20 and 30 to 40個包：
editcap -r capture.pcap select.pcap 1 5 10-20 30-40

5.刪除與前面4個包中有重複的包：
editcap -d capture.pcap dedup.pcap

6.刪除與前面100個包中有重複的包：
editcap -D 101 capture.pcap dedup.pcap

7.是原始文件中5%的包隨機變爲錯包：
editcap -E 0.05 capture.pcap capture_error.pcap

capinfos

• 查看pcap的信息 

capinfos -AM test.pcap

mergecap