我捕获了一个非常大的 tcpdump 文件,现在它总是导致我的 wireshark 崩溃。它是在没有过滤器的情况下捕获的,我需要在之后应用一些过滤器来缩小文件大小。
这可能吗?
答案1
是的,可以。您可以使用以下命令:
tcpdump -r your_input_file.pcap -w your_output_file.pcap "your_filter"
Tcpdump 将读取输入文件,应用过滤器,然后写入输出文件。您只需要想出正确的过滤器。
答案2
尝试网络嗅探,它按顺序处理 pcap,而不像 Wireshark 那样尝试将所有内容加载到 RAM 中。