問題背景:在Linux服務(wù)器上使用tcpdump捕獲到的數(shù)據(jù)包存為.pcap形式,想從里面提取某個IP的UDP數(shù)據(jù)包,但是發(fā)現(xiàn)數(shù)據(jù)包太大(幾十上百G),wireshark打不開,經(jīng)同學(xué)告知可以使用wireshark的命令行工具tshark進行過濾提取酣胀。
tshark的讀包可以滿足的過濾條件和wireshark是一模一樣的,所以可以滿足UDP和特定IP這兩個過濾條件愿卸。
tshark -r test.pcap -R "udp and ip.addr==x.x.x.x" -w wanted.pcap
- 使用tshark -help可以得到選項的簡單介紹灵临,具體的需要查閱官方文檔。
- 一些常用選項用法可以參照博客 網(wǎng)絡(luò)分析利器wireshark命令版(2):tshark使用示例或者 Wireshark命令行工具tshark詳解(含例子)-01趴荸。
