tshark

• 查看pcap文件第一个包的时间，当文件名不包含时间信息时非常有帮助

  　　　tshark -c 1 -T fields -e frame.time -r test.pcap

dumpcap

editcap

基本语法

editcap [options] …   [ [-] … ]

主要参数分类含义权作解说

包选择类

-r 保留选择的包；默认为删除。
-A  选择所有包的时间戳大于该时间的包。
-B  选择所有包的时间戳小于该时间的包。

删除重复包类

-d 删除重复的包（默认5个内进行比对）。
-D  删除重复的包，并指定在个包内进行比对的范围为0-1000000。
-w  删除重复的包，并指定时间在之前的数据包才做重复删除操作。

处理类

-s  将数据包截断成长度为的数据包。
-C  将包尾的个字节砍掉。
-t  调整包的时间戳; 即可以为正数，也可以为负数。
-E  按照的比例随机制造错包，例如为0.05，则包文件中5%的包会随机被配置为各种错包。

输出类

-c  按包个数分割包文件，如为1000，则将原始包文件分割成多个文件，每个文件的包个数为1000，当然最后一个文件的包数可以小于等于1000.
-i  按时间分割包文件，如为10，则每个被分割的文件中的包时间戳均在10s内，且每个包的时间戳又会从0开始.
-F  设置输出文件的格式，默认为pcapng。
-T  设置输出文件中包封装的类型，默认和原始包封装类型一致。

使用示例

1.将数据包截断为64字节长度，且转换为snoop的格式：
editcap -s 64 -F snoop capture.pcap shortcapture.snoop

2.删除原始文件中的第1000个数据包：
editcap capture.pcap sans1000.pcap 1000

3.提取原始文件中的第200到750个包：
editcap -r capture.pcap small.pcap 200-750

4.提取原始文件中的第 1, 5, 10 to 20 and 30 to 40个包：
editcap -r capture.pcap select.pcap 1 5 10-20 30-40

5.删除与前面4个包中有重复的包：
editcap -d capture.pcap dedup.pcap

6.删除与前面100个包中有重复的包：
editcap -D 101 capture.pcap dedup.pcap

7.是原始文件中5%的包随机变为错包：
editcap -E 0.05 capture.pcap capture_error.pcap

capinfos

• 查看pcap的信息

capinfos -AM test.pcap

mergecap