有什么东西可以分解 tcpdump 文件后捕获并确保断点位于数据包数据的边界上?
就像-C,但事后也是如此。
答案1
我editcap以前曾使用过,非常成功。
editcap -c 1000 large-in.pcap smaller-out
该命令应生成一个或多个名为的文件smaller-out-00000,smaller-out-00001等等,包含来自输入文件的第一、第二等千个数据包。
答案2
TCP拆分会这样做。它甚至可以确保您不会在中断时丢失 TCP 会话。
答案3
您可以editcap根据数据包数量(或时间范围)进行拆分,或者如果您确实需要根据大小进行拆分,请尝试这脚本。
答案4
为了简单地分割成可管理的大小,您应该能够使用 tcpdump 本身来完成此操作,使用 -C、-w 和 -r 选项。但我还没有尝试过。