Я захватил действительно большой файл tcpdump, который теперь всегда приводит к сбою моего wirehark. Он был снят без фильтров, и мне нужно применить некоторые позже, чтобы уменьшить размер файла.
Это как-то возможно?
Да, это возможно. Вы можете использовать следующую команду:
tcpdump -r your_input_file.pcap -w your_output_file.pcap "your_filter"
Tcpdump прочитает входной файл, применит фильтр, а затем запишет выходной файл. Вам нужно просто придумать правильный фильтр.
Пытаться netsniff-ng, он последовательно обрабатывает pcap, в отличие от Wireshark, который пытается загрузить все в ОЗУ.