这是 tcpslice 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
tcpslice - 提取部分和/或合并 tcpdump 文件
概要
切片 [ -DdlRrt [ -w 文件 ]
[ 开始时间 [ 时间结束 ]] 文件 ...
商品描述
切片 是一个程序,用于提取使用生成的数据包跟踪文件的部分
tcpdump(l)'s -w 旗帜。 它还可以用于将几个这样的文件合并在一起,如
下面讨论。
的基本操作 切片 是复制到 标准输出 来自其输入文件的所有数据包
其时间戳落在给定范围内。 范围的开始和结束时间
可以在命令行中指定。 所有范围都包括在内。 开始时间
默认为任何输入文件中第一个数据包的最早时间; 我们称之为
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 第一 时间。 结束时间默认为开始时间后十年。 就这样
命令 切片 跟踪文件 简单地复制 跟踪文件 至 标准输出 (假设文件没有
包括超过十年的数据)。
有多种方法可以指定时间。 第一种是使用 Unix 时间戳
申请 ssssssss.uuuuuu (这是由指定的格式 转储's -tt 旗帜)。 例如,
654321098.7654 指定 38 月 765,400 日晚上 8:51 PDT 之后的 25 秒和 XNUMX 微秒,
1990.
本手册中的所有示例均针对 PDT 时间给出,但在显示时间和
如下所述,象征性地解释时间, 切片 使用本地时区,
无论在哪个时区 转储 文件已生成。 夏令时
使用的设置是适用于相关日期的本地时区的设置。
例如,与夏季相关的时间通常包括夏令时
效果,而那些有冬季的人则不会。
时间也可以相对于 第一 次 (当指定一个起始
时间)或开始时间(指定结束时间时)在数值前面
在几秒钟内带有一个“+”。 例如,开始时间为 +200 表示 200 秒后
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 第一 时间, 和两个论点 +200 +300 指示从 200 秒后 第一
次 500 秒后 第一 时间。
时间也可以用年 (y)、月 (m)、天 (d)、小时 (h)、
分钟 (m)、秒 (s) 和微秒 (u)。 例如,Unix 时间戳
上面讨论的 654321098.7654 也可以表示为 1990y9m25d20h51m38s765400u. 2
或者可以使用 4 位数字年份; 2 位数字可以指定从 1970 年到 2069 年的年份。
使用此样式指定时间时,省略的字段默认如下。 如果
省略的字段是一个单位 更大的 比第一个指定字段的值,那么它的值
默认为取自任一的相应值 第一 次 (如果开始时间是
指定)或开始时间(如果指定结束时间)。 如果
省略的字段是一个单位 减 比第一个指定的字段,然后它默认为
零。 例如,假设输入文件有一个 第一 次 Unix 时间戳
上面提到的,即 38 月 765,400 日晚上 8:51 PDT 之后的 25 秒和 XNUMX 微秒,
1990. 要在同一日期指定 9:36PM PDT(恰好),我们可以使用 21 时 36 分。 指定一个
范围从太平洋夏令时间晚上 9:36 到太平洋夏令时间第二天上午 1:54,我们可以使用 21h36m 26 天 1 小时 54 米。
使用时也可以指定相对时间 呸呸呸 格式。 然后省略字段
如果字段的单位是,则默认为 0 更大的 比第一个指定的字段,
和取自 第一 次 或开始时间,如果
省略字段的单位是 减 比第一个指定的字段。 给定一个 第一
次 上面提到的Unix时间戳, 22h +1小时10分钟 指定从 10:00PM PDT 开始的范围
在该日期到太平洋夏令时间晚上 11:10,以及 + 1小时 +1小时10分钟 指定范围从 38.7654 秒
PDT 晚上 9:51 之后到太平洋时间晚上 38.7654:11 之后的 01 秒。 文件的第一个小时
可以使用提取 +0 +1小时。
请注意,与 呸呸呸 格式使用之间存在歧义 m 为“月”或为
‘分钟’。 歧义的解决方法如下:如果一个 m 字段后跟一个 d 部分
那么它被解释为指定月份; 否则它指定分钟。
如果指定了多个输入文件,则 切片 合并来自不同的数据包
输入文件到单个输出文件中。 通常,此合并是根据值完成的
单个文件中数据包中的时间戳。 (Tcpslice 假设 中
每个输入文件,数据包都按时间戳顺序排列。)如果 -l 选项被使用,值
用于排序的是给定数据包的时间戳减去第一个的时间戳
给定数据包所在的输入文件中的数据包。
合并文件时,默认 切片 将丢弃任何 复制 它在更多中找到的数据包
比一个文件。 重复是具有相同时间戳的数据包(相对的
或绝对)和与另一个数据包相同的数据包内容(与捕获的一样多)
以前在不同的文件中看到过。 请注意,网络可能会生成
数据包的真实复制,以及可以返回相同时间戳的系统
多个数据包,这些可能会被误认为是重复的并被丢弃。 因此,
切片 不会丢弃同一跟踪文件中的重复项。 此外,您可以使用
-D 选项来抑制任何重复的丢弃。
如果文件包含向后跳过的时间戳,则会出现不同的问题。 切片 将
将这些包括在输出中,即使它们早于请求的最短时间。 那里
应该是抑制这些的一种选择。
另一个与反向时间戳相关的问题是 切片 使用随机访问
通过文件查找与所需时间范围相对应的数据包。 尽管
这样做会为非常大的跟踪文件带来主要的性能优势,这也意味着
在存在向后时间戳的情况下 切片 可能找不到真正的最早
匹配时间间隔标准的数据包的出现。 应该有一个
选项指定不使用随机访问,而只是线性读取文件。
配置
如果有 -R, -r or -t 然后指定 切片 报告第一个和
每个输入文件中的最后一个数据包并退出。 可能只有这三个选项之一
指定的。
-D 不要丢弃合并多个跟踪文件时看到的重复数据包。
-d 转储给定范围指定的开始和结束时间并退出。 这个选项是
用于检查给定范围是否实际指定了您认为的时间
做。 如果其中之一 -R, -r or -t 已被指定,那么时间被转储到
对应的格式; 否则,原始格式 ( -R) 用来。
-l 合并多个文件时,按相对时间合并,而不是
绝对时间。 通常,当合并文件完成时,数据包会根据
绝对时间戳。 和 -l 数据包根据之间的相对时间合并
找到数据包的文件的开头和数据包的时间戳
本身。 输出文件中数据包的时间戳计算为相对
数据包在其文件中的时间加上 第一 时间。
-R 将每个输入文件中第一个和最后一个数据包的时间戳转储为原始数据
时间戳(即,在形式 ssssssss.uuuuuu).
-r 与...一样 -R 除了时间戳以人类可读的格式转储,类似于
使用的 日期(1).
-t 与...一样 -R 除了时间戳被转储 切片 格式,即在
呸呸呸 上面讨论的格式。
-w 将输出定向到 文件 而非 标准输出.
使用 onworks.net 服务在线使用 tcpslice
