Есть ли что-то, что может сломать файл tcpdump после захват и убедиться, что разрывы находятся на границе пакетных данных?
подобно -C но постфактум.
Я использовал editcap в прошлом, с большим успехом.
editcap -c 1000 large-in.pcap smaller-out
Эта команда должна сгенерировать один или несколько файлов с именем smaller-out-00000, smaller-out-00001 и т. д., содержащих первую, вторую и т. д. тысячи пакетов из входного файла.
TCPSplit сделаю это. Это даже гарантирует, что вы не потеряете сеансы TCP в перерыве.
Ты можешь использовать editcap чтобы сделать разделение на основе количества пакетов (или временного диапазона), или если вам действительно нужно разделить на основе размера, попробуйте этот сценарий.
Вы смотрели на csplit?
Чтобы просто разделить на управляемый размер, вы должны иметь возможность сделать это с помощью самого tcpdump, используя параметры -C, -w и -r. но я не пробовал.