利用editcap -C命令压缩Pcap文件

最新推荐文章于 2025-12-09 00:28:14 发布
原创 最新推荐文章于 2025-12-09 00:28:14 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种通过使用editcap命令来删除PCAP文件中数据包的载荷部分,从而达到压缩文件大小,提高存储和读取效率的方法。具体操作为使用editcap-C指令截短每个数据包指定字节后的部分。

通常抓取的PCAP文件都会很大,但很多时候进行数据包分析的时候我们只关心包头而无需关心数据载荷部分。将载荷部分删掉可以有效压缩pcap文件大小,提高文件存储和读取效率。

网上搜了一圈没有找到提取包头的指令。

editcap -C命令可以删除数据包的指定字节部分。例如

editcap -C 100:100000

可以将每个数据包100字节以后的部分截短。

bryanting
关注
Asura:具有大规模多线程功能的大规模Pcap分析器(DEF CON 26)
05-18
具有大规模多线程功能的大规模Pcap分析器(DEF CON 26) “宇宙并不复杂,只有很多。” -理查德·费曼(Richard Feynman) Required: libtins http://libtins.github.io/ Intel TBB # apt install libpcap-dev # apt install libtins-dev quick test: # ./asura pcaps 随着网络流量的快速增长,在处理网络诊断,事件响应和CTF等许多方面时,我们在处理大型数据包捕获文件方面正面临着较长的处理时间。 Wireshark和Linux grep命令基本上在单进程模式下运行,因此不善于在合理的处理时间内分析数十或数百GB的数据包转储。 另一方面,GPGPU等高性能设备在我们的笔记本电脑上运行时仍然体积庞大且昂贵。 Asura One是一款便携式大包捕
pcap2matlab-master.zip
08-26
matlab 解析pcap文件的源码
editcap
fs交流的博客
12-28 729
editcap
Wireshark抓包文件分割工具:editcap高级选项
gitblog_00522的博客
10-31 853
editcap是Wireshark套件中一款功能强大的命令行工具,用于编辑和转换网络抓包文件。它支持分割大型捕获文件、过滤数据包、调整时间戳等高级操作,是网络分析和故障排查的重要辅助工具。本文将详细介绍editcap的高级选项及实用场景,帮助用户高效处理捕获文件。 ## 工具基础与核心功能 editcap的源代码位于项目根目录的[editcap.c](https://link.gitcode....
Editcap 工具用法
weixin_34072857的博客
09-27 353
options: -c <packets per file> Splits the packet output to different files based on uniform packet counts with a maximum of <packets per file> each. Each output file will be created...
Wireshark CLI | Editcap
7ACE的博客
04-15 2433
Wireshark CLI | Editcap 4.0.0 篇
使用editcap命令将ERF格式转换为pcap格式
weixin_33901926的博客
12-05 475
editcap是Wireshark的一个组件,在Windows平台下,只要完成Wireshark的安装,就可以在安装目录中看到editcap.exe。editcap.exe需要在命令行中使用。 对于用Endace DAG捕捉卡捕获的数据包,一般来说,都是erf格式的。ERF格式全称是Extensible Record Format,具体格式参见http://wiki.wireshark.org/...
[转载]editcap参数
BLOCKGOLD.E的博客
08-22 1885
介绍一下editcap的各种参数。 1、-F &lt;file format&gt; 上面刚刚用到的。指定输出文件的格式,使用 editcap -命令可以列出所有支持的格式。我们要pcap,那就写pcap呗。此外,在linux平台下转化为pcap文件时,应当使用 "libpcap" 关键字,记得要先安装libpcap库啊。 2、-T &lt;encapsulation format&gt;...
Ubuntu 16.04 分割超大pcap文件
xueying_2017的博客
11-18 925
在处理pcap文件时会出现由于文件过大、内存不足而导致无法打开pcap文件,这时可以将其分割为多个小的pcap文件 # 查看wireshark的安装路径 whereis wireshark /usr/bin/wireshark /etc/wireshark /usr/share/wireshark /usr/share/man/man1/wireshark.1.gz # 进入wiresha...
将太大的pcap包分割成小的pcap
紫盒子
01-14 7950
(1)在wireshark主目录中找到editcap.exe (2)在cmd窗口输入editcap -c/i  x 源目录 保存目录;参数c:按每个文件包的个数分割;参数i按每个文件时间分。
WinpCap文件传输.zip
08-19
基于winpcap支持文件的上传和接收,用于学习winpcap,需要自行下载包含文件和lib。Winpcap收发文件示例。
PCAP文件的解析软件
07-12
具备WIRESHARK的大部分功能,主要是指针的偏移来完成的。对初学者有一定的帮助。
簡單範例 editcap,wireshark 付屬程式
weixin_34294649的博客
08-08 135
2019独角兽企业重金招聘Python工程师标准>>> ...
利用wireshark组件editcap和tshark删除报文的不关注层详解
ftzchina的博客
02-16 5091
目录 一:概要 二:要处理的报文说明 三:报文处理 步骤1:删除VLAN层 步骤2:过滤带目标层报文 步骤3:分别切割 步骤4:合并报文 一:概要 经常与报文打交道的都知道在不同的应用场景中,pcap报文往往会根据场景应用相应的分层。有时候我们拿到报文后,我们并不关心某些分层,如我只关心TCP,IP和载荷层,其他的分层如GTP,GRE,VLAN等我并不关心,但是这些层的存在又加大了报文分析的难度,所以有必要在分析之前去掉这些不关注的分层。在此我们用到wireshark的两个组件editca
WireShark editcap 错误信息 You don't have permission to create or write to the file XXX
dhychang的博客
12-19 1628
WireShark editcap 错误信息 You don't have permission to create or write to the file XXX问题描述解决方法 问题描述 当Wireshark 安装在系统盘,想使用editcap 命令时,如果把 .pcap 文件拷贝到Wireshark安装盘下执行editcap.exe 命令切割pcap时, 会有如下报警: 解决方法 将切割...
Linux分割PCAP文件的三种方式
热门推荐
wwrzzu的博客
12-23 1万+
【前言】 当pcap文件太大以致于wireshark无法打开时,您就需要借助一些工具进行pcap文件的分割。本文章中介绍的方法仅是笔者所了解的,望相互学习~ 在学习分割pcap文件前,最好先了解pcap文件的格式呦~ 【方式一】 wireshark自带的editcap。首先进入wireshark安装目录。 (I)按包数量分割。 editcap -c count input.pcap o
Wireshark抓包入门到精通实战教程
03-06
学习利用抓包神器Wireshark分析网络故障,了解网络协议原理,注重实战分析案例。
Arkime数据压缩技术:PCAP文件高效存储的终极指南
最新发布
gitblog_00201的博客
12-09 912
在网络安全监控和流量分析领域,PCAP文件的存储一直是个挑战。**Arkime数据压缩技术**提供了一套完整的解决方案,让网络管理员能够高效管理和存储大量网络流量数据。🚀 ## 什么是Arkime数据压缩? Arkime作为一款开源的大规模PCAP捕获和搜索系统,其核心优势在于智能的数据压缩能力。通过**PCAP文件高效存储方案**,Arkime能够将原始流量数据压缩至原来的20%-30%,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值