остановить команду tshark, когда он найдет правильный пакет

Question

У меня есть файл Pcap с довольно большим размером. Я просто хочу прочитать один пакет в этом файле, например, 10-й пакет.

У меня есть команда tshark так:

tshark -r myfile.pcap frame.number == 10 -V 

Команда будет продолжать поиск весь файл, даже если он находит 10-пакет. Это занимает много времени.

Я предпочитаю останавливать команду, когда она находит пакет, как я могу это сделать?

Благодарим за любые предложения.

Answer 1

editcap (часть пакета wirehark) может использоваться для извлечения одного или нескольких определенных кадров из файла pcap в новый файл pcap.

Затем вы можете запустить tshark в новом файле. (Это двухэтапный процесс, но для больших файлов pcap потребуется меньше времени, чем tshark возьмет, чтобы прочитать весь файл).

Usage: editcap [options] ... <infile> <outfile> [ <packet#>[-<packet#>] ... ] 

Packet selection: 
    -r      keep the selected packets; default is to delete them. 

См editcap -h для полного списка editcap опций.