如何在完全打开之前告诉 .pcapng 文件帧数?
How to tell .pcapng file frame amount before fully open it?
我在 AIX 上通过 iptrace 获得了巨大的 .cap 文件。该文件约为 800MB。我在 MacOS 上,tshark 已经 运行 解析了一整天。
CPU 我的主机保持 99% 占用。我真的需要加快速度。
我已经添加了 tshark 的 -n 标志。
我正在考虑将帧数范围添加到过滤器中,这应该会缩小要分析的数据包数量。但我不知道帧的总数,因此无法真正添加该参数。
- 我可以在完全打开 .cap 文件之前浏览一些关于它的一般信息吗?
- 还有其他方法可以显着加快 tshark 的性能吗?
谢谢。
也许 TShark 陷入了无限循环,在这种情况下,问题不在于 "the file is too big"(我有一个 776MB 的捕获,只需要几分钟就可以 运行 它通过tshark -V,尽管在主内存为 16GB 的 2.8 GHz Core i7 MBP 上),问题是 "TShark/Wireshark have a bug"。
在 the Wireshark Bugzilla 上提交错误,指定已经 运行 一天的 TShark 命令(所有命令行参数)。您可能必须提供捕获文件以供 Wireshark 开发人员测试或 运行 TShark 测试版本。
我在 AIX 上通过 iptrace 获得了巨大的 .cap 文件。该文件约为 800MB。我在 MacOS 上,tshark 已经 运行 解析了一整天。
CPU 我的主机保持 99% 占用。我真的需要加快速度。
我已经添加了 tshark 的 -n 标志。
我正在考虑将帧数范围添加到过滤器中,这应该会缩小要分析的数据包数量。但我不知道帧的总数,因此无法真正添加该参数。
- 我可以在完全打开 .cap 文件之前浏览一些关于它的一般信息吗?
- 还有其他方法可以显着加快 tshark 的性能吗?
谢谢。
也许 TShark 陷入了无限循环,在这种情况下,问题不在于 "the file is too big"(我有一个 776MB 的捕获,只需要几分钟就可以 运行 它通过tshark -V,尽管在主内存为 16GB 的 2.8 GHz Core i7 MBP 上),问题是 "TShark/Wireshark have a bug"。
在 the Wireshark Bugzilla 上提交错误,指定已经 运行 一天的 TShark 命令(所有命令行参数)。您可能必须提供捕获文件以供 Wireshark 开发人员测试或 运行 TShark 测试版本。