Separar arquivos de captura dom tshark

[chaulet]

Pessoal, to com o seguinte problema
Tenho um arquivo de captura de pacotes de rede, feito com o tshark
Nesse arquivo tem 20 segundos de captura da rede
Entretanto, eu quero analisar apenas 1 segundo desses 20.
Portanto eu gostaria de saber se tem como copiar 1 segundo, desses 20, pra outro arquivo legível pelo tshark/wireshark.

Grato

[jondavy]

no commview eu sei que da, eh so marcar uma parte da captura e exportar para o formato desejado
ja no wireshark que eh muito mais antigo no ramo vai ter sim,
ou entao edita o arquivo em hexadecimal e exclue a parte desnecessaria.. usa o hex workshop

[chaulet]

Vlw jondavy, mas a questão é que eu precisava fazer tudo isso em modo texto, no Linux.
Mas resolvi o problema, caso alguém precise, basta executar o tshark (versão modo texto do wireshark) assim


tshark -r pacote_de_captura -R 'frame.time_relative >= inicio_intervalo && frame.time_relative <= final_intervalo -w arquivo_de_captura_novo

dessa forma, vai manter o arquivo principal e criar um novo, apenas com os pacotes desejados.

Ex:
tshark -r captura -R 'frame.time_relative >= 5 && frame.time_relative <= 6' -w capture

esse comando abre o arquivo captura (-r captura)
utiliza o filtro frame.time_relative (-R 'frame.time_relative >= 5 && frame.time_relative < 6') - vai pegar os pacotes com tempo 5
e vai salvar esses pacotes em um novo arquivo chamado capture (-w capture)

Vlw.