在tshark数据包捕获会话期间,是否可以响应外部触发来自动标记或以某种方式标记正在捕获的数据包?我希望能够在长时间的不受监视的捕获会话中轻松挑选出感兴趣的潜在数据包。
我想要实现的是对我的家庭安全系统的增强,借此我可以捕获所有wifi探测器请求,并在出现警报(或其他外部触发)的情况下,挑选出该区域内的设备(设备指纹)当时作为调查辅助。
我知道我可以通过比较日志时间来手动完成此操作(这当然假设两个日志都具有相同的基准时间),但是如果警报在触发时甚至可以在单个数据包上触发标志,就会创建一个警报日志和数据包日志之间有很好的取证链接。