tshark 출력 파일에 타임 스탬프를 보존하는 방법은 무엇입니까?

Question

나는 tshark를 사용하여 특정 TCP 스트림을 추출하고이를 -w 옵션을 사용하여 출력 pcap 파일에 씁니다.

그러나 출력 pcap의 프레임에는 타임 스탬프 나 델타 시간이 없습니다 (원래 pcap에서는 은 프레임의 타임 스탬프와 델타 시간이입니다).

원본 pcap 파일의 원본 타임 스탬프가 출력 pcap에 보존되도록하는 방법이 있습니까?

MacOS에서 TShark 1.10.5 (/trunk-1.10의 SVN Rev 54262)를 사용하고 있습니다.

감사합니다. 출력 PCAP에서

Answer 1

프레임은 타임 스탬프 또는 델타 시간 (그들은 이 프레임에 대한 타임 스탬프 및 델타 시간을 거기 원래 PCAP에 모두 0 동안 것)가 없습니다.

기술적으로 "버그"라고합니다. the Wireshark Bugzilla에 버그로 제출하십시오. 테스트 목적으로 원래의 pcap 파일을 첨부 할 수 있다면 좋을 것입니다. (그렇지 않다면 입력 파일이 어떤 파일 유형인지 알기 위해 파일 명령을 실행하고 결과를 보여줍니다. 예를 들어 pcap 파일이 아닌 pcap-ng 파일 일 수 있습니다.