如何在完全打開它之前告訴.pcapng文件的幀數量？

Question

我在AIX上通過iptrace獲得巨大的.cap文件。該文件大約800MB。我在MacOS上，並且tshark已經運行了一整天來解析它。

我的主機的CPU保持99％的佔用率。我真的需要加快速度。

我已經添加了-n旗幟的tshark。

我正在考慮將幀數範圍添加到過濾器，這應該縮小分析數據包的數量。但我不知道幀的總數量，因此不能真正添加​​該參數。

1. 在完全打開它之前，我可以瀏覽關於.cap文件的一些常規信息嗎？
2. 還有什麼可以顯着加快tshark性能的嗎？

謝謝。

Answer 1

也許TShark陷入了一個無限循環，在這種情況下，問題不是「文件太大」（我有一個776MB的捕獲，只需要幾分鐘即可運行tshark -V，儘管在2.8 GHz Core i7 MBP上有16GB主內存），問題在於「TShark/Wireshark有一個bug」。

在the Wireshark Bugzilla上指定一個運行一天的TShark命令（所有命令行參數）。您可能必須提供捕獲文件以供Wireshark開發人員測試或運行TShark的測試版本。