我有一个巨大的pcap文件(100GB),我对少量的数据包感兴趣,我知道数字是5,000,000到5,000,020.
如何使用tcpdump读取pcap文件,按数据包编号(或范围)过滤掉数据包,然后将其写入新的pcap文件?
pdp*_*pdp 11
editcap与Wireshark一起使用非常简单(至少在CentOS和Debian上).对于5,000,000到5,000,020个包号,您可以:
editcap -r <big_pcap_file> <new_pcap_file> 5000000-5000020
小智 3
您可以使用名为 tricap 的小程序。Tricap 是 Xplico 的一部分。源代码也可以从这里下载: https: //github.com/M0Rf30/xplico/tree/master/system/trigcap
| 归档时间: |
|
| 查看次数: |
11361 次 |
| 最近记录: |