• 问题背景：在Linux服务器上使用tcpdump捕获到的数据包存为.pcap形式，想从里面提取某个IP的UDP数据包，但是发现数据包太大（几十上百G），wireshark打不开，经同学告知可以使用wireshark的命令行工具tshark进行过滤提取。

• tshark的读包可以满足的过滤条件和wireshark是一模一样的，所以可以满足UDP和特定IP这两个过滤条件。

tshark -r test.pcap -R "udp and ip.addr==x.x.x.x" -w wanted.pcap

• 使用tshark -help可以得到选项的简单介绍，具体的需要查阅官方文档。
• 一些常用选项用法可以参照博客 网络分析利器wireshark命令版(2)：tshark使用示例或者 Wireshark命令行工具tshark详解(含例子)-01。