메타데이터를 추출하려는 일부 PCAP 파일이 있습니다. 저는 tshark를 사용하여 이 작업을 수행하고 파일을 열고 수십 개의 필드를 추출한 다음 테이블을 디스크에 씁니다. 이 프로세스는 매우 시간이 많이 걸릴 수 있으며 단일 PCAP 파일의 경우 최대 30분까지 걸릴 수 있다는 것을 확인했습니다. 기본 설정( )을 사용하여 데이터에 대해 역방향 DNS를 수행하고 -N dmN있으며 Wireshark에도 동일한 역방향 DNS 설정이 있습니다. 내가 아는 한, 역방향 DNS는 tshark/Wireshark에서 수행하는 다른 프로세스에 비해 상당히 시간이 많이 걸리는 프로세스입니다. 그러나 Wireshark와 tshark에서 동일한 파일을 열면 Wireshark는 몇 초 안에 파일을 로드하는 반면 tshark는 몇 분 정도 걸립니다. 내 tshark 명령은 다음과 같습니다
tshark -r my_pcap_file.pcap \
-2 \
-T fields \
-E separator=/t \
-E header=y \
-E quote=d \
-e frame.time_epoch \
-e frame.len \
-e frame.protocols \
-e _ws.malformed \
-e _ws.col.Protocol \
-e _ws.col.Length \
-e ip.rec_rt \
-e ip.src \
-e ip.dst \
-e ip.src_host \
-e ip.dst_host \
> my_pcap_file.tsv
이 속도 차이에 대한 알려진 이유가 있습니까?