J'ai capturé un très gros fichier tcpdump qui plante désormais toujours mon wirehark. Il a été capturé sans filtre et je dois en appliquer par la suite pour réduire la taille du fichier.
Est-ce possible?
9
Oui c'est possible. Vous pouvez utiliser la commande suivante:
tcpdump -r your_input_file.pcap -w your_output_file.pcap "your_filter"
Tcpdump va lire le fichier d'entrée, appliquer le filtre, puis écrire le fichier de sortie. Vous avez juste besoin de trouver le bon filtre.
Essayez netsniff-ng , il traite séquentiellement le pcap contrairement à Wireshark, qui essaie de tout charger dans la RAM.