从 pcap 捕获中提取数据负载

Question

我想从 pcap 捕获中将单个数据包数据部分（有效负载）从 UDP 流提取到文件中，给定捕获中的数据包编号。

我尝试了以下命令

tshark -r fec_1D_10x10.pcap -R "frame.number == 13" -T fields -e data -w fecData.raw

但是，整个数据包都被保存了。我该怎么做（不一定使用 tshark）？

谢谢

Answer 1

好的，当提供 -w 选项时，它的行为与标准输出不同。因此，作为一种解决方法，因为它看起来有点乱七八糟而且速度很慢：

tshark -r fec_1D_10x10.pcap -R "frame.number == 13" -T fields -e data | tr -d '\n' | perl -pe 's/([0-9a-f]{2})/chr hex /gie' > fecData.raw

Extracting data payload from pcap capture