원격 AP에서 캡처한 캡처 파일을 필터링하려고 합니다. 파일을 노트북으로 가져오면 Wireshark에서 파일을 열고 peekremote로 디코딩한 다음 디스플레이 필터 EAPOL을 만들어 원하는 패킷을 얻을 수 있습니다.
그런데 캡처 서버에 약 100Gbs의 데이터가 있는데 Tshark나 다른 도구를 사용하여 Linux 서버에서 직접 이 작업을 수행할 수 있는지 궁금합니다.
이와 비슷한데 이것은 단지 파일을 복사하는 것일 뿐이므로 파일을 EAP 트래픽으로 출력하고 싶습니다. 내가 tshark를 다루는 데 익숙하지 않은 이유에 대해 아는 사람이 있나요?
tshark -r 캡처-18.pcap -J eapol -w test.pcap
답변1
죄송합니다. 잠시 놀다가 이 문제를 해결했습니다. 간단한 -Y
필터 입니다
tshark -r in.pcap -Y eapol -w out.pcap