как разбить файл pcap на набор меньших

47

У меня есть огромный файл pcap (сгенерированный tcpdump). Когда я пытаюсь открыть его в wireshark, программа просто перестает отвечать на запросы. Есть ли способ разделить файл на несколько меньших, чтобы открыть их один за другим? Трафик, захваченный в файле, генерируется двумя программами на двух серверах, поэтому я не могу разделить файл с помощью фильтров tcpdump 'host' или 'port'. Я также попробовал команду linux 'split' :-), но безуспешно. Wireshark не распознает формат.

tcpdump pcap

— Facha
источник

Насколько велика огромна? Это намного больше чем доступная RAM?

— pehrs

2

Немного поздно, но причина, по которой Wireshark не будет читать файлы, которые выводятся, splitсостоит в том, что split делит на точные границы байтов. Это очень вероятно, чтобы разделить пакет, который делает недействительным часть содержимого файла.

— Бурхан Али

72

Вы можете использовать сам tcpdump с опциями -C, -r и -w

tcpdump -r old_file -w new_files -C 10

Опция "-C" указывает размер файла для разбивки. Например: в приведенном выше случае размер новых файлов составит 10 миллионов байт каждый.

— Дэн Андреатта
источник

Ты удивительный человек, Дэн.

— Лоби

Есть ли способ сделать это без разрыва сессии? (Предполагая, что один сеанс меньше аргумента ограничения размера).

— spanishgum

Быстро: tcpdump -r old_file -w new_files -C 1000 разбивает на каждый 955 МБ записанного трафика

— gies0r

18

Используйте editcapутилиту, которая распространяется вместе с Wireshark.

— Дэн Карли
источник

5

editpcap -c 1000 input.pcap output.pcapбудет разделен input.pcapна захваты с максимум 1000 пакетов на захват. В результате будут получены несколько файлов захвата, отформатированных какoutput_{index}_{timestamp}.pcap

— blachniet

1

Спасибо, блачет за пример! Но это просто editcap, не так editpcapли?

— Линде

3

Я знаю, что этот ответ немного запоздал, но он может послужить и другим людям. Я нашел отличный инструмент для разделения файлов pcap: PcapSplitter . Она является частью библиотеки PcapPlusPlus, что означает ее кроссплатформенность (Win32, Linux и Mac OS), и она может разбивать файлы pcap на основе различных критериев, таких как размер файла (что вам нужно), но также и соединение, клиент / сервер IP, порт сервера (аналогично протоколу), количество пакетов и т. Д. Я нашел это очень полезным. Ссылка выше для исходного кода, но если вы не хотите / не знаете, как скомпилировать, я создал скомпилированные двоичные файлы для нескольких платформ, с которыми я использовал этот инструмент. Я очень рекомендую этот инструмент

РЕДАКТИРОВАТЬ: очевидно, была выпущена новая версия PcapPlusPlus, и она содержит двоичные файлы PcapSplitter для довольно многих платформ (Windows, Ubuntu 12.04 / 14.04, Mac OSX Mavericks / Yosemite / El Captian). Я думаю, что лучше использовать эти двоичные файлы, чем ссылку, которую я ранее предоставил. Вы можете найти это здесь

— fx23
источник

2

Лучший и самый быстрый способ - использовать SplitCap, который может разбивать большие файлы дампа пакетов, например, на основе сеансов. Таким образом, вы получите каждый сеанс TCP в отдельном файле PCAP. SplitCap также может разделять пакеты в файлы pcap на основе IP-адресов.

Вы можете узнать больше о SplitCap в блоге Netresec: http://www.netresec.com/?page=Blog&month=2011-05&post=Split-or-filter-your-PCAP-files-with-SplitCap

Загрузите SplitCap отсюда: http://www.netresec.com/?page=SplitCap

Удачи!

— Netresec
источник

Есть ли версии для Linux?

— ychaouche

Это хорошая программа, но ей не хватает возможности работать с файлами pcapng.

— Гунтрам Блом поддерживает Монику

0

tcpdump -w trace.pcap -W 48 -G 300 -C 100 -i any port 41110

-G 300 он будет вращаться через 5 минут
-W 48 количество файлов
-C 100 размер файла 100 МБ
port Вы можете указать порт на основе приложения

— user531905
источник