У меня есть огромный файл pcap (сгенерированный tcpdump). Когда я пытаюсь открыть его в wirehark, программа просто перестает отвечать. Есть ли способ разбить файл на несколько меньших, чтобы открывать их один за другим? Трафик, захваченный в файле, создается двумя программами на двух серверах, поэтому я не могу разделить файл с помощью фильтров tcpdump «host» или «port». Я также пробовал команду linux split :-), но безуспешно. Wireshark не распознает формат.
Вы можете использовать сам tcpdump с параметрами -C, -r и -w
tcpdump -r old_file -w new_files -C 10
Параметр «-C» указывает размер файла для разделения. Например: в приведенном выше случае размер новых файлов будет 10 миллионов байтов каждый.
Использовать editcap утилита, которая распространяется с Wireshark.
Я знаю, что этот ответ немного запоздал, но он может пригодиться и другим людям. Я нашел отличный инструмент для разделения файлов pcap: PcapSplitter. Это часть PcapPlusPlus библиотека, что означает, что она кроссплатформенная (Win32, Linux и Mac OS), и она может разбивать файлы pcap на основе различных критериев, таких как размер файла (что вам кажется нужным), а также по соединению, IP-адресу клиент / сервер, порту сервера ( аналогично протоколу), количество пакетов и т. д. Я нашел это очень полезным. Ссылка выше предназначена для исходного кода, но если вы не хотите / не знаете, как компилировать, я создал скомпилированные двоичные файлы для нескольких платформ, с которыми я использовал этот инструмент. Я очень рекомендую этот инструмент
РЕДАКТИРОВАТЬ: по-видимому, была выпущена новая версия PcapPlusPlus, которая содержит двоичные файлы PcapSplitter для довольно многих платформ (Windows, Ubuntu 12.04 / 14.04, Mac OSX Mavericks / Yosemite / El Captian). Я думаю, что лучше использовать эти двоичные файлы, чем ссылку, которую я ранее предоставил. Вы можете найти это Вот
Лучший и самый быстрый способ - использовать SplitCap, который, например, может разбивать большие файлы дампа пакетов на основе сеансов. Таким образом вы получите каждый сеанс TCP в отдельном файле PCAP. SplitCap также может разделять пакеты на файлы pcap на основе IP-адресов.
Вы можете узнать больше о SplitCap в блоге Netresec: http://www.netresec.com/?page=Blog&month=2011-05&post=Split-or-filter-your-PCAP-files-with-SplitCap
Загрузите SplitCap отсюда: http://www.netresec.com/?page=SplitCap
Удачи!
tcpdump -w trace.pcap -W 48 -G 300 -C 100 -i any port 41110
-G 300 он будет вращаться через 5 минут -W 48 количество файлов-C 100 размер файла 100 МБport вы можете указать порт в зависимости от приложения