我正试图从一个24m大小的捕获中获取tcpstream。我可以用wireshark获取它，但我需要一个没有接口的命令来获取它。
我一开始在不到1米的捕获中尝试tshark，然后在同一个捕获中获得了与wireshark相等的tcpstream。在24米的拍摄中，我不能。wireshark中的tcp流很大，与tshark中给出的不匹配。
我不明白是什么问题。
我正在使用以下命令：tshark -r cap.pcapng -T fields -e data
知道有什么问题吗？或者它与什么相关？
我也有其他解决方法可以解决我的问题。
谢谢。

也许这不是最有效的方法，但现在是了。
从将跟踪文件制动到多个文件开始，可以使用wireshark安装的editcap使用-c设置所需参数。还有更好的办法，请调查一下（我没有）
现在您有多个文件，这不是很好的工作，所以您必须创建一个批处理文件调用这些文件的tshark。打开它们应用参数并写入一个新文件（我再次告诉过您，这是不有效的）
-r <infile> -R "here goes you parameters" -w <outfile>
尽管如此，我们仍然没有创建大量的新文件，但是为了便于使用，我们最好将它们合并到一个单独的文件中，以获得比我们开始时小得多的文件。为此，我建议mergecap -a
mergecap -a -w <outfile> <infile1> <infile2>......<infilen>
希望有帮助