Есть ли простой способ создать файл pcap для пакетов, относящихся к определенному диапазону дат и времени, возможно, с помощью tshark, tcpdump или другого инструмента командной строки?
tshark -R с frame.time кажется многообещающим, но я пока не смог это решить...
ИЗМЕНИТЬ
Последняя команда:
editcap -F libpcap -A "2013-07-20 23:00:00" -B "2013-07-20 23:20:00" input.pcap output.pcap
Вам нужно editcap. Это инструмент командной строки, входящий в семейство Wireshark.
Просмотрите справочную страницу по адресу http://www.wireshark.org/docs/man-pages/editcap. HTML.
Он принимает файл pcap в качестве входных данных и записывает выходной. Вы можете работать с файлом для фильтрации содержимого, например, с помощью времени начала и окончания, диапазонов номеров пакетов, длины моментальных пакетов, настройки меток времени (!) и т. д. Это отличный инструмент.
