Как установить gropdf?

Если вас интересует только временная метка пакетов, вы можете сделать снимок одного пакета в шестнадцатеричном формате и реплицировать его, изменив только временную метку, используя text2pcap, который обычно находится в том же пакете, что и wireshark.

Например, я использовал tcpdump -XXдля захвата некоторых пакетов artibrary и выбрал короткий tcp из дампа ascii:

16:51:27.374569 IP 192.168.0.21.nut > 192.168.0.20.53910: Flags [R.]...
    0x0000:  b827 0099 9999 80ee 7399 9999 0800 4500 ................
    0x0010:  0028 06e4 4000 4006 b272 c0a8 0015 c0a8 .(..@.@..r......
    0x0020:  0014 0da5 d296 0000 0000 ee15 7872 5014 ............xrP.
    0x0030:  0000 e792 0000                          ......

Вы можете отфильтровать это с помощью awk, чтобы получить дамп в формате, который требуется text2pcap, а именно:

awk '$1~/0x/ { $0 = substr($0,1,50); for(i=2;i<=9;i++)s = s $i }
     END     { gsub(/../,"& ",s); print "0000 " s }'

Установить переменную mypacketна результат:

mypacket='0000  b8 27 00 99 99 99 80 ee 73 99 99 99 08 00 45 00 00 28 06 e4 40 00 40 06 b2 72 c0 a8 00 15 c0 a8 00 14 0d a5 d2 96 00 00 00 00 ee 15 78 72 50 14 00 00 e7 92 00 00'

Затем используйте другой awk, чтобы взять время из столбца 1 каждой строки вашего файла данных и добавить его к тому же пакету, сообщая программе преобразования извлечь эту отметку времени в заданном формате и преобразовать ее в подходящий формат pcap. для проводной акулы.

awk <dump -v mypacket="$mypacket" '
 /79\.xxx\.xxx\.216/ { print $1 " " mypacket }' |
text2pcap -t '%H:%M:%S.' - out.pcap

Обратите внимание на последний "." в опции -t. Это необходимо для сохранения долей секунд в отметке времени.