facha Asked: 2010-04-14 00:19:29 +0800 CST2010-04-14 00:19:29 +0800 CST 2010-04-14 00:19:29 +0800 CST 如何将 pcap 文件拆分为一组较小的文件 772 我有一个巨大的 pcap 文件(由 tcpdump 生成)。当我尝试在wireshark中打开它时,程序只是没有响应。有没有办法将文件拆分为一组较小的文件以逐个打开它们?文件中捕获的流量是由两台服务器上的两个程序生成的,因此我无法使用 tcpdump 'host' 或 'port' 过滤器拆分文件。我也尝试过 linux 'split' 命令 :-) 但没有运气。Wireshark 无法识别该格式。 tcpdump pcap 5 个回答 Voted Best Answer Dan Andreatta 2010-04-14T01:33:32+08:002010-04-14T01:33:32+08:00 您可以将 tcpdump 本身与 -C、-r 和 -w 选项一起使用 tcpdump -r old_file -w new_files -C 10 “-C”选项指定要拆分的文件的大小。例如:在上述情况下,每个新文件的大小将是 1000 万字节。 Dan Carley 2010-04-14T00:23:20+08:002010-04-14T00:23:20+08:00 使用editcap随 Wireshark 分发的实用程序。 seladb 2016-07-09T13:45:58+08:002016-07-09T13:45:58+08:00 我知道这个答案有点晚了,但它也可能为其他人服务。我发现了一个用于拆分 pcap 文件的好工具:PcapSplitter。它是PcapPlusPlus库的一部分,这意味着它是跨平台的(Win32、Linux 和 Mac OS),它可以根据不同的标准(例如文件大小(您似乎需要))以及连接、客户端/服务器来拆分 pcap 文件IP,服务器端口(类似于协议),数据包计数等。我发现它非常有用。上面的链接是源代码,但如果你不想/不知道如何编译,我为我一直在使用这个工具的几个平台创建了编译的二进制文件。我非常推荐这个工具 编辑:显然发布了新版本的 PcapPlusPlus,它包含适用于很多平台(Windows、Ubuntu 12.04/14.04、Mac OSX Mavericks/Yosemite/El Captian)的 PcapSplitter 二进制文件。我认为使用这些二进制文件比我之前提供的链接更好。你可以在这里找到 Netresec 2011-05-11T09:29:40+08:002011-05-11T09:29:40+08:00 最好和最快的方法是使用 SplitCap,例如,它可以根据会话拆分大型数据包转储文件。这样,您将在单独的 PCAP 文件中获取每个 TCP 会话。SplitCap 还可以根据 IP 地址将数据包分成 pcap 文件。 您可以在 Netresec 博客上阅读有关 SplitCap 的更多信息:http: //www.netresec.com/? page=Blog&month=2011-05&post=Split-or-filter-your-PCAP-files-with-SplitCap 从这里下载 SplitCap:http: //www.netresec.com/? page=SplitCap 祝你好运! user531905 2019-07-17T06:01:42+08:002019-07-17T06:01:42+08:00 tcpdump -w trace.pcap -W 48 -G 300 -C 100 -i any port 41110 -G 300它将在 5 分钟内旋转 -W 48文件数 -C 100文件大小 100 MB port您可以根据应用程序指定端口
您可以将 tcpdump 本身与 -C、-r 和 -w 选项一起使用
“-C”选项指定要拆分的文件的大小。例如:在上述情况下,每个新文件的大小将是 1000 万字节。
使用
editcap随 Wireshark 分发的实用程序。我知道这个答案有点晚了,但它也可能为其他人服务。我发现了一个用于拆分 pcap 文件的好工具:PcapSplitter。它是PcapPlusPlus库的一部分,这意味着它是跨平台的(Win32、Linux 和 Mac OS),它可以根据不同的标准(例如文件大小(您似乎需要))以及连接、客户端/服务器来拆分 pcap 文件IP,服务器端口(类似于协议),数据包计数等。我发现它非常有用。上面的链接是源代码,但如果你不想/不知道如何编译,我为我一直在使用这个工具的几个平台创建了编译的二进制文件。我非常推荐这个工具
编辑:显然发布了新版本的 PcapPlusPlus,它包含适用于很多平台(Windows、Ubuntu 12.04/14.04、Mac OSX Mavericks/Yosemite/El Captian)的 PcapSplitter 二进制文件。我认为使用这些二进制文件比我之前提供的链接更好。你可以在这里找到
最好和最快的方法是使用 SplitCap,例如,它可以根据会话拆分大型数据包转储文件。这样,您将在单独的 PCAP 文件中获取每个 TCP 会话。SplitCap 还可以根据 IP 地址将数据包分成 pcap 文件。
您可以在 Netresec 博客上阅读有关 SplitCap 的更多信息:http: //www.netresec.com/? page=Blog&month=2011-05&post=Split-or-filter-your-PCAP-files-with-SplitCap
从这里下载 SplitCap:http: //www.netresec.com/? page=SplitCap
祝你好运!
-G 300它将在 5 分钟内旋转-W 48文件数-C 100文件大小 100 MBport您可以根据应用程序指定端口