我正在为一堆使用 tshark 创建的常规小 pcap 文件编写解析脚本。

我需要的是提取捕获中第一个数据包和最后一个数据包的精确(低至毫秒)时间戳。我尝试过“capinfos myfile”，但它的精度低至几秒，对于持续不到一秒的捕获，这不是很有帮助。

有谁知道我如何获取这些信息？

运行 capinfos -c 以显示数据包数量:
$ capinfos -c lmt_04.pcap
文件名:lmt_04.pcap
数据包数:1645
运行 TShark -T fields 打印第一个和最后一个数据包的 frame.time:
$ tshark -r lmt_04.pcap -R "frame.number==1 || frame.number==1645"-T fields -e frame.time
2009 年 8 月 28 日 21:29:24.491572000
2009 年 8 月 28 日 21:30:36.747868000