【发布时间】:2013-04-24 23:44:25
【问题描述】:
是否可以根据 tcp 连接时间(连接持续时间)过滤 tcpdump(实时或创建转储后)?
我正在记录 http json rpc 流量。 我只想记录超过 1000 毫秒的连接。
在wireshark 中菜单-> 统计-> 对话(TCP 选项卡)中有工具,我可以按“持续时间”排序。但我想记录(或过滤)之前的长期连接(而不是在wireshark中)。
在伪命令中我想做这样的事情:
tcpdump -i eth0 port 80 and connectionTime>1000ms -w data.pcap
或录制后:
cat data.pcap | SOMETOOL -connectionTime>1000ms > dataLongConnections.pcap
SOMETOOL 必须将过滤后的数据导出为 Wireshark 能够理解的格式。 因为过滤后我想在 Wireshark 中分析这些数据。
我该怎么做?
【问题讨论】:
-
您是否按照 kauppi 的建议尝试了 SplitCap?您不能使用 tcpdump 过滤会话持续时间,因为它不是一个有状态的过滤器,SplitCap 乍一看似乎提供了您入门所需的内容。
-
补充 Tom Regner 所说的内容:
tcpdump不跟踪会话持续时间。Wireshark能够向您显示信息的原因是因为Wireshark本身正在跟踪会话持续时间,而不是简单地解析tcpdump。