如何分解大型 tcpdump 文件

Question 1

我editcap以前曾使用过，非常成功。

editcap -c 1000 large-in.pcap smaller-out

该命令应生成一个或多个名为的文件smaller-out-00000，smaller-out-00001等等，包含来自输入文件的第一、第二等千个数据包。

Answer

我editcap以前曾使用过，非常成功。

editcap -c 1000 large-in.pcap smaller-out

该命令应生成一个或多个名为的文件smaller-out-00000，smaller-out-00001等等，包含来自输入文件的第一、第二等千个数据包。

Question 2

TCP拆分会这样做。它甚至可以确保您不会在中断时丢失 TCP 会话。

Answer

TCP拆分会这样做。它甚至可以确保您不会在中断时丢失 TCP 会话。

Question 3

您可以editcap根据数据包数量（或时间范围）进行拆分，或者如果您确实需要根据大小进行拆分，请尝试这脚本。

Answer

您可以editcap根据数据包数量（或时间范围）进行拆分，或者如果您确实需要根据大小进行拆分，请尝试这脚本。

Question 4

为了简单地分割成可管理的大小，您应该能够使用 tcpdump 本身来完成此操作，使用 -C、-w 和 -r 选项。但我还没有尝试过。

Answer

为了简单地分割成可管理的大小，您应该能够使用 tcpdump 本身来完成此操作，使用 -C、-w 和 -r 选项。但我还没有尝试过。

相关内容