51学通信技术论坛

标题: 通过EA-LITE实现对特定IMSI的原始流量过滤 [打印本页]

作者: kinghighland 时间: 2014-3-12 15:08:05 标题: 通过EA-LITE实现对特定IMSI的原始流量过滤

本帖最后由 kinghighland 于 2014-3-12 15:12 编辑

数据网优工程师平时习惯于使用Wireshark进行分析，但是Wireshark无法打开超过2GB的大文件，而且现网流量较大时，抓包很短的时间就会产生一个大文件，导致一个会话过程会被分割到很多个cap文件中去。如果要分析这个会话的详细报文，就不得不依次打开这些大文件，一个一个做过滤输出，然后再把过滤后的很多个小文件合并成一个文件。

EA-LITE可以在执行解码时对指定的IMSI进行原始流量过滤，可以利用这个功能来自动实现上面的处理过程，一次对付几十个GB甚至几百个GB的cap文件，步骤如下：

进入控制台界面的数据源选项卡，在实时跟踪过滤选项中选中“过滤保存文件”，然后点IMSI过滤清单

对打开的文件进行编辑，输入要跟踪的IMSI，可以一次处理十几个

然后回到控制台执行常规的解码过程，解码结束之后即可到如下目录找到过滤输出的cap文件，文件按IMSI命名。

欢迎光临 51学通信技术论坛 (http://www.51xuetongxin.com/bbs/)