Можно ли разбить PCAPS на несколько файлов на основе простых критериев
Origional.pcap {разделен на порт 80}, который генерирует 2 следующих файла
Или было бы проще создать несколько разных tcpdump, соответствующих моим критериям
Спасибо
Просто используйте tcpdump для чтения из вашего файла захвата и записи нового файла:
tcpdump -r all.pcap -w port80.pcap port 80
tcpdump -r all.pcap -w other.pcap ! port 80
Другой вариант - использовать PcapSplitter который является частью PcapPlusPlus люкс. Вы не указали интересующую вас ОС, но PcapSplitter работает как в Windows, Linux, так и в Mac OS X. Вы можете использовать его следующим образом:
PcapSplitter -f all.pcap -o D:\Output -m bpf-filter -p "port 80"
Он выведет два файла: все-0000.pcap будет содержать пакеты порта 80 и all-0001.pcap будет содержать остальные пакеты
По-видимому, последняя версия PcapPlusPlus не содержит этой функции, поэтому вам придется скомпилировать ее самостоятельно из исходного кода.