亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

^{<blockquote id="nln6r"></blockquote>}

Chinaunix

標(biāo)題: 如何知道一個(gè) tcpdump 文件的時(shí)間范圍? [打印本頁(yè)]

作者: ailms 時(shí)間: 2013-07-24 10:25
標(biāo)題: 如何知道一個(gè) tcpdump 文件的時(shí)間范圍?
例如有一個(gè) tcpdump 抓取的文件，你并不知道是抓取了多少秒的數(shù)據(jù)包。

有沒(méi)有什么好的方法快速知道呢?

我現(xiàn)在的方法是用

tcpdump -tt -r $capFile 2>/dev/null | sed -n '1p;$p' | awk '{start=$1;getline;end=$1;};END {print end-start}'

復(fù)制代碼

但這個(gè)時(shí)間基本等于 tcpdump 運(yùn)行的時(shí)間，也就是如果抓取10秒，那么這個(gè)過(guò)程也就是10秒，也就是基本等同于重放了

請(qǐng)問(wèn)各位有沒(méi)有更好的方法?

作者: zooyo 時(shí)間: 2013-07-24 10:46
提示: 作者被禁止或刪除內(nèi)容自動(dòng)屏蔽

作者: ailms 時(shí)間: 2013-07-24 10:53
回復(fù) 2# zooyo

不好意思，現(xiàn)在的情況是已經(jīng)有了 tcpdump 的文件，要反過(guò)來(lái)知道是截取了多長(zhǎng)時(shí)間

作者: zooyo 時(shí)間: 2013-07-24 10:56
提示: 作者被禁止或刪除內(nèi)容自動(dòng)屏蔽

作者: ailms 時(shí)間: 2013-07-24 11:02
回復(fù) 4# zooyo

恩，不過(guò) tcpdump -tt 就可以打印原始時(shí)間戳了，我現(xiàn)在用的就是這種方式。

但這種方式，感覺(jué)還是需要遍歷整個(gè) capture file ，有沒(méi)有更快的方式呢?

作者: zooyo 時(shí)間: 2013-07-24 11:25
提示: 作者被禁止或刪除內(nèi)容自動(dòng)屏蔽

作者: zooyo 時(shí)間: 2013-07-24 11:29
提示: 作者被禁止或刪除內(nèi)容自動(dòng)屏蔽

作者: ailms 時(shí)間: 2013-07-24 11:32
多謝 zooyo，我試試

作者: ailms 時(shí)間: 2013-07-24 12:48

zooyo 發(fā)表于 2013-07-24 11:29
64位機(jī)器上編譯通過(guò), 32位的話(huà), header->ts.tv_sec的類(lèi)型是long long型, 需要改改.

測(cè)試了，可以用，而且很快.

贊

作者: zooyo 時(shí)間: 2013-07-24 15:35
提示: 作者被禁止或刪除內(nèi)容自動(dòng)屏蔽

作者: wenhq 時(shí)間: 2013-07-24 17:38
wireshark看第二列最后一個(gè)數(shù)字就是抓了多少秒吧。。。

作者: ailms 時(shí)間: 2013-07-24 19:32
回復(fù) 11# wenhq

之前看過(guò)linux 下的 tshark ，不過(guò)命令過(guò)于復(fù)雜，排除了。

作者: ailms 時(shí)間: 2013-07-24 19:36
tcpstat 命令也可以

linbobo@ubuntu:~$ tcpstat -r 443-449.cap -o 'ts=%s , bytes=%N\n'
ts=1374141438.878590 , bytes=3920612
ts=1374141443.878590 , bytes=3637440
ts=1374141448.878590 , bytes=3582286
linbobo@ubuntu:~$

復(fù)制代碼

歡迎光臨 Chinaunix (http://www.72891.cn/)