本文介绍了在Linux环境下分割大型PCAP文件的三种方法:使用wireshark的editcap工具按包数量或时间间隔分割,利用split命令按文件大小分割,以及通过tcpdump的r和c参数提取特定数量的数据包。这些方法生成的文件都能被wireshark打开,但前两种可能会影响pcap文件的格式,而tcpdump拆分的文件仍能被程序正确读取。
【前言】
当pcap文件太大以致于wireshark无法打开时,您就需要借助一些工具进行pcap文件的分割。本文章中介绍的方法仅是笔者所了解的,望相互学习~
在学习分割pcap文件前,最好先了解pcap文件的格式呦~
【方式一】
wireshark自带的editcap。首先进入wireshark安装目录。
(I)按包数量分割。
editcap -c count input.pcap output.pcap
输出的每个文件都有count个数据包,以output-NNN.pcap命名。
eg:editcap -c 1000 chicago.pcap c.pcap
得到分割结果如下:
(II)按时间间隔分割
editcap -i <seconds-per-file> input.pcap output.pcap
【方式二】
Linux下的split命令。按文件大小byte分割。(只介绍b参数,其余请自行Google)
split -b <byte> <input-file>
eg:split -b 100k chicago.pcap
【方式三】
使用tcpdump的r和c参数拆分。
eg:tcpdump -r chicago.pcap -c 1000 -w output.pcap
【对比】
方式一和方式二均将整个pcap文件拆分成若干小文件。方式三则相当于提取pcap文件的前n个数据包。
三种方式得到的pcap文件均能继续被wireshark打开。
但前两种方式会修改pcap文件的格式,若您自己编程根据pcap file header、packet header、packet..顺序读取分析pcap文件,前两种方式不会成功,但tcpdump拆分后的
pcap文件仍然可以被程序读取。
扫一扫
641
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
