那些遇到过的问题

如何将 pcap 文件拆分为一组较小的文件

fac*_*cha 52 tcpdump pcap

我有一个巨大的 pcap 文件(由 tcpdump 生成)。当我尝试在wireshark中打开它时,该程序没有响应。有没有办法将一个文件分成一组较小的文件以一个一个地打开它们?文件中捕获的流量由两台服务器上的两个程序生成,因此我无法使用 tcpdump 'host' 或 'port' 过滤器拆分文件。我也试过 linux 'split' 命令 :-) 但没有运气。Wireshark 无法识别该格式。

Dan*_*tta 81

您可以通过 -C、-r 和 -w 选项使用 tcpdump 本身

tcpdump -r old_file -w new_files -C 10
Run Code Online (Sandbox Code Playgroud)

“-C”选项指定要拆分的文件的大小。例如:在上述情况下,每个新文件的大小为 1000 万字节。

Dan*_*ley 22

使用editcap随 Wireshark 分发的实用程序。

  • `editpcap -c 1000 input.pcap output.pcap` 将把 `input.pcap` 拆分为每个捕获最多 1000 个数据包的捕获。输出将是多个格式为 `output_{index}_{timestamp}.pcap` 的捕获文件 (7认同)

归档时间:

查看次数:

100264 次

最近记录:

6 年,1 月 前
相关归档
多个接口上的 Tcpdump 30
监控端口上传输到/从 IP 地址的字节数 20
tcp 零窗口消息的 tcpdump 过滤器 6
从网络或 pcap 文件中提取 SSL 证书 5
如何在 VPN 服务器上捕获 IPSEC 数据包? 5
未知的 tcpdump 数据包 4
tcpdump 可以告诉访问的端口号吗? 4
如何使用Linux在eth0上捕获数据包并将所有内容发送到eth1? 4
无法从 MySQL 获取 TCPdump 0
TCP卸载网卡怎么导致TCP校验和无效? 0
难疑归档
IPv4 子网划分是如何工作的? 461
您如何使您明显处于生产系统中? 136
是否可以在 Linux 中为主机名设置别名? 102
我的 /var/log/btmp 文件很大!我该怎么办? 91
这个nginx错误“重写或内部重定向循环”是什么意思? 89
ec2 中 PV 和 HVM 虚拟化类型有什么区别? 70
是否可以通过 sftp 使用 rsync(没有 ssh shell)? 69
syslog、rsyslog 和 syslog-ng 有什么区别? 67
如何实时监控Windows日志文件? 58
HTTP POST 的内容是否有最大大小? 55