pcap 파일을 더 작은 파일 세트로 나누는 방법

거대한 pcap 파일이 있습니다 (tcpdump에 의해 생성됨). wireshark에서 열려고하면 프로그램이 응답하지 않습니다. 작은 파일 집합으로 파일을 분할하여 하나씩 열 수있는 방법이 있습니까? 파일에서 캡처 된 트래픽은 두 서버의 두 프로그램에 의해 생성되므로 tcpdump 'host'또는 'port'필터를 사용하여 파일을 분할 할 수 없습니다. 나는 또한 리눅스 'split'명령을 시도했지만 운이 없다. Wireshark가 형식을 인식하지 못합니다.

tcpdump 자체를 -C, -r 및 -w 옵션과 함께 사용할 수 있습니다

tcpdump -r old_file -w new_files -C 10

"-C"옵션은 분할 할 파일의 크기를 지정합니다. 예 : 위의 경우 새 파일 크기는 각각 천만 바이트입니다.

editcapWireshark와 함께 제공되는 유틸리티를 사용하십시오 .

이 답변이 약간 늦다는 것을 알고 있지만 다른 사람들에게도 도움이 될 수 있습니다. pcap 파일을 분할하는 훌륭한 도구 인 PcapSplitter를 찾았습니다 . PcapPlusPlus 라이브러리 의 일부 이므로 크로스 플랫폼 (Win32, Linux 및 Mac OS)이며 파일 크기 (필요한 것)와 같은 다른 기준에 따라 pcap 파일을 분할 할 수 있지만 연결, 클라이언트 / 서버 IP, 서버 포트 (프로토콜과 유사), 패킷 수 등 매우 유용합니다. 위의 링크는 소스 코드에 대한 것이지만, 컴파일 방법을 원하지 않거나 알고 싶다면 이 도구를 사용하는 여러 플랫폼에 대해 컴파일 된 바이너리 를 만들었습니다 . 이 도구를 매우 추천합니다

편집 : 분명히 새로운 버전의 PcapPlusPlus가 출시되었으며 많은 플랫폼 (Windows, Ubuntu 12.04 / 14.04, Mac OSX Mavericks / Yosemite / El Captian)을위한 PcapSplitter 바이너리가 포함되어 있습니다. 이전에 제공 한 링크보다이 바이너리를 사용하는 것이 좋습니다. 여기에서 찾을 수 있습니다

가장 빠르고 빠른 방법은 세션을 기반으로 큰 패킷 덤프 파일을 분할 할 수있는 SplitCap을 사용하는 것입니다. 이렇게하면 각 TCP 세션을 별도의 PCAP 파일로 가져올 수 있습니다. SplitCap은 IP 주소를 기반으로 패킷을 pcap 파일로 분리 할 수도 있습니다.

SplitCap에 대한 자세한 내용은 Netresec 블로그 ( http://www.netresec.com/?page=Blog&month=2011-05&post=Split-or-filter-your-PCAP-files-with-SplitCap)를 참조하십시오.

여기에서 SplitCap을 다운로드하십시오 : http://www.netresec.com/?page=SplitCap

행운을 빕니다!

tcpdump -w trace.pcap -W 48 -G 300 -C 100 -i any port 41110

• -G 300 5 분 후에 회전합니다
• -W 48 파일 수
• -C 100 파일 크기 100 MB
• port 응용 프로그램을 기반으로 포트를 지정할 수 있습니다