tshark 気になるパケット・フレームをテキストで抜粋

パケットキャプチャのうち、関心のあるパケットをテキストとして保存して置けると何かと便利。wiresharkで気になる部分のフレーム番号(No)をチェックした上でtsharkのディスプレイフィルタで抽出。以下の例だと、フレーム番号 229927以上229930以下 または 450724以上450727以下 のキャプチャを抽出してテキストファイルに保存。

$ tshark -R "(frame.number >= 229927 and frame.number <= 229930) or (frame.number >= 450724 and frame.number <= 450727)" -V -r nge0-20090904-51091.snoop > nge0-20090904-51093.txt