2014-02-11 78 views
1

我使用tshark來提取特定的TCP流,並使用-w選項將其寫入輸出pcap文件。如何保存tshark輸出文件中的時間戳?

但是,輸出pcap中的幀沒有任何時間戳或增量時間(它們全部爲零,而在原始pcap中,時間戳和幀的增量時間)。

有什麼方法可以確保原始時間戳(來自原始pcap文件)保留在輸出pcap中嗎?

我在MacOS上使用TShark 1.10.5(SVN Rev 54262 from /trunk-1.10)。

謝謝!

回答

1

輸出PCAP幀沒有任何時間戳或增量時間(他們都是零,而在原來的PCAP有時間戳和增量時間幀)。

這就是技術上稱爲「bug」的東西。請將其作爲the Wireshark Bugzilla上的錯誤進行歸檔;如果您可以附加您的原始pcap文件用於測試目的,那會很好。 (如果沒有,請運行文件命令並顯示結果,以便我們知道輸入文件的文件類型 - 例如,它可能是pcap-ng文件而不是pcap文件)。

+0

謝謝,這裏的錯誤:https://bugs.wireshark.org/bugzilla/show_bug.cgi?id = 9747 – wwwalker