有人写过一个实用程序吗同时地过滤并合并许多pcap-格式的数据包捕获文件? 过滤tshark但tcpdump不合并,mergecap合并但不过滤。我试图将 64GB 的捕获(压缩!)过滤成一个小得多的文件,如果我不需要其他几GB的临时空间和两个步骤,它们都很慢。
实用功能必须在 Linux 上运行,理想情况下已在 Debian 中打包。能够读取 gzip 压缩的跟踪文件非常理想。速度也非常理想(tshark处理需要 10 到 30 分钟一输入文件数;一共有 120 个)。我可以忍受仅限于libpcap的过滤器语法。