如何在 RedHat 上根据 IP 地址分割 pcap 文件

tag-icon tag-icon pcap
如何在 RedHat 上根据 IP 地址分割 pcap 文件

在我的 Linux 服务器上,我有一个巨大的pcap跟踪文件。我需要根据某些特定的 IP 地址拆分此文件。我怎样才能做到这一点?

答案1

要根据 IP 地址读取现有 pcap 文件并输出到新文件,请使用此语法。

tcpdump -r old-pcap-file -w new-pcap-file-for-1.2.3.4 host 1.2.3.4

来自tcpdump 手册页

-r file   Read packets from file
-w file   Write the raw packets to file rather than parsing and printing them out.

相关内容