J'ai un énorme fichier pcap (généré par tcpdump). Lorsque j'essaie de l'ouvrir dans WireShark, le programme ne répond plus. Existe-t-il un moyen de diviser un fichier en plusieurs fichiers plus petits pour les ouvrir un par un? Le trafic capturé dans un fichier est généré par deux programmes sur deux serveurs. Par conséquent, je ne peux pas scinder le fichier à l'aide des filtres "hôte" ou "de port" de tcpdump. J'ai aussi essayé la commande 'split' de linux :-) mais sans succès. Wireshark ne reconnaîtrait pas le format.
47
splitest sortie est parce que split divisera sur des limites d'octet exactes. Cela risque fort de diviser un paquet, ce qui invalidera une partie du contenu du fichier.Réponses:
Vous pouvez utiliser tcpdump lui-même avec les options -C, -r et -w
L'option "-C" spécifie la taille du fichier dans lequel se scinder. Exemple: dans le cas ci-dessus, les nouveaux fichiers auront une taille de 10 millions d’octets.
la source
tcpdump -r old_file -w new_files -C 1000grand écart sur tous les 955MB de trafic enregistréUtilisez l'
editcaputilitaire distribué avec Wireshark.la source
editpcap -c 1000 input.pcap output.pcapse séparerainput.pcapen captures avec un maximum de 1000 paquets par capture. La sortie sera constituée de plusieurs fichiers de capture formatés commeoutput_{index}_{timestamp}.pcapeditcap, noneditpcap, non?Je sais que cette réponse est un peu tardive, mais elle peut aussi servir d’autres personnes. J'ai trouvé un excellent outil pour diviser des fichiers pcap : PcapSplitter . Cela fait partie de la bibliothèque PcapPlusPlus , ce qui signifie qu'il est multi-plateforme (Win32, Linux et Mac OS), et il peut fractionner les fichiers pcap en fonction de différents critères tels que la taille du fichier (ce dont vous semblez avoir besoin) mais également par connexion client / serveur. IP, port du serveur (similaire au protocole), nombre de paquets, etc. Je l’ai trouvé très utile. Le lien ci-dessus concerne le code source, mais si vous ne voulez pas / ne savez pas comment compiler, j'ai créé des fichiers binaires compilés pour plusieurs plates-formes avec lesquelles j'ai utilisé cet outil. Je recommande beaucoup cet outil
EDIT: apparemment, une nouvelle version de PcapPlusPlus a été publiée et contient des fichiers binaires PcapSplitter pour de nombreuses plateformes (Windows, Ubuntu 12.04 / 14.04, Mac OSX Mavericks / Yosemite / El Captian). Je pense qu'il est préférable d'utiliser ces fichiers binaires que le lien que j'ai fourni précédemment. Vous pouvez le trouver ici
la source
Le meilleur moyen et le plus rapide consiste à utiliser SplitCap, qui permet de fractionner des fichiers de vidage de paquets volumineux en fonction de sessions, par exemple. De cette façon, vous obtiendrez chaque session TCP dans un fichier PCAP séparé. SplitCap peut également séparer les paquets en fichiers pcap basés sur des adresses IP.
Vous pouvez en savoir plus sur SplitCap sur le blog Netresec: http://www.netresec.com/?page=Blog&month=2011-05&post=Split-or-filter-your-PCAP-files-with-SplitCap
Téléchargez SplitCap à partir d'ici: http://www.netresec.com/?page=SplitCap
Bonne chance!
la source
-G 300il va tourner dans 5 minutes-W 48nombre de fichiers-C 100taille de fichier 100 Moportvous pouvez spécifier le port en fonction de l'applicationla source