1 Wireshark切割PCAP
有时候对PCAP包进行分析,会遇到内存不足打不开较大的PCAP,那么有两种方法解决这个问题,一个是写程序对PCAP进行过滤或者截取;另一个是使用Wireshark自带的函数进行PCAP切割,本篇选择使用Wireshark自带函数对PCAP进行切割。
具体步骤如下
(1)进入Wireshark安装目录
(2)输入命令
editcap.exe -c num sourcefile destfile
(3)可以看到已分割成很多PCAP
2 Wireshark合并PCAP
将小PCAP包合并成一个PCPA
(1) 执行命令merge -w destfile sourcefile1 sourcefile2
(2)可以看到已经有生成文件
总结
通过Wireshark可以对PCAP进行切割及合并。两条命令搞定。
唯一需要注意的是文件路径不要搞错。