是否可以根据简单标准将 PCAPS 拆分为多个文件

Question 1

只需tcpdump读取捕获文件并写出新文件即可：

tcpdump -r all.pcap -w port80.pcap port 80 
tcpdump -r all.pcap -w other.pcap ! port 80

Answer

只需tcpdump读取捕获文件并写出新文件即可：

tcpdump -r all.pcap -w port80.pcap port 80 
tcpdump -r all.pcap -w other.pcap ! port 80

Question 2

另一个选择是使用Pcap分离器这是普卡普套件。您没有指定您感兴趣的操作系统，但 PcapSplitter 适用于 Windows、Linux 和 Mac OS X。您可以按如下方式使用它：

PcapSplitter -f all.pcap -o D:\Output -m bpf-filter -p "port 80"

它将输出两个文件：全部-0000.pcap将包含端口 80 数据包，并且全部-0001.pcap将包含其余的数据包

显然，PcapPlusPlus 的最新版本不包含此功能，因此您必须自行从源代码进行编译

Answer

另一个选择是使用Pcap分离器这是普卡普套件。您没有指定您感兴趣的操作系统，但 PcapSplitter 适用于 Windows、Linux 和 Mac OS X。您可以按如下方式使用它：

PcapSplitter -f all.pcap -o D:\Output -m bpf-filter -p "port 80"

它将输出两个文件：全部-0000.pcap将包含端口 80 数据包，并且全部-0001.pcap将包含其余的数据包

显然，PcapPlusPlus 的最新版本不包含此功能，因此您必须自行从源代码进行编译

相关内容