tkrabec Asked: 2014-01-29 13:50:16 +0800 CST2014-01-29 13:50:16 +0800 CST 2014-01-29 13:50:16 +0800 CST 是否可以根据简单的标准将 PCAPS 拆分为多个文件 772 是否可以根据简单的标准将 PCAPS 拆分为多个文件 Origional.pcap {split on port 80} 生成以下 2 个文件 all_port_80.pcap Everything_else.pcap 或者创建多个符合我的标准的不同 tcpdump 会更容易吗 谢谢 pcap 2 个回答 Voted Best Answer Evan Anderson 2014-01-29T13:54:44+08:002014-01-29T13:54:44+08:00 只需使用tcpdump从您的捕获文件中读取并写出一个新文件: tcpdump -r all.pcap -w port80.pcap port 80 tcpdump -r all.pcap -w other.pcap ! port 80 seladb 2016-11-13T10:19:52+08:002016-11-13T10:19:52+08:00 另一种选择是使用PcapSplitter,它是PcapPlusPlus套件的一部分。您没有指定您感兴趣的操作系统,但 PcapSplitter 在 Windows、Linux 和 Mac OS X 中都可以使用。您可以按如下方式使用它: PcapSplitter -f all.pcap -o D:\Output -m bpf-filter -p "port 80" 它将输出两个文件:all-0000.pcap将包含端口 80 数据包,all-0001.pcap将包含其余数据包 显然 PcapPlusPlus 的最新版本不包含此功能,因此您必须自己从源代码编译它
只需使用
tcpdump从您的捕获文件中读取并写出一个新文件:另一种选择是使用PcapSplitter,它是PcapPlusPlus套件的一部分。您没有指定您感兴趣的操作系统,但 PcapSplitter 在 Windows、Linux 和 Mac OS X 中都可以使用。您可以按如下方式使用它:
PcapSplitter -f all.pcap -o D:\Output -m bpf-filter -p "port 80"它将输出两个文件:all-0000.pcap将包含端口 80 数据包,all-0001.pcap将包含其余数据包
显然 PcapPlusPlus 的最新版本不包含此功能,因此您必须自己从源代码编译它