我有一个包含 tcp 跟踪的 pcap 文件。
我想知道是否有办法分割这些跟踪以维持 TCP 流,同时还根据源 IP 过滤流量。
例如,如果我的网络中具有属于 192.168.0.0/16 的 IP 地址,则我想将跟踪分成两个 pcap:第一个 pcap 的 IP 从 192.168.0.0 到 192.168.127.127,第二个 pcap 的 IP 从 192.160.127.128 到 192.168.255.255。
同时,我不想丢失与外部服务器的 TCP 连接。
Wireshark 可以做到这一点吗?
答案1
我建议使用 PcapSplitter,它是普卡普套件。您可以自行编译其代码,也可以从以下网址下载适用于多个平台的二进制文件:这里
您可以使用该工具来实现以下目标:
PcapSplitter.exe -f your_file.pcap -i "net 192.168.0.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR1>
PcapSplitter.exe -f your_file.pcap -i "net 192.168.128.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR2>
每次运行都会输出一个包含每个客户端 IP 的 pcap 文件的文件夹 - 第一个文件夹包含从 192.168.0.0 到 192.168.127.255 的客户端 IP,另一个文件夹包含从 192.168.128.0 到 192.168.255.255 的客户端 IP。然后,您可以使用 mergecap 或其他工具合并每个文件夹中的 pcap 文件(如果需要)