linux – 通过TCP连接拆分pcap文件的工具？

发布时间：2020-12-13 18:14:07 所属栏目：Linux 来源：网络整理

导读：是否有工具将数据包捕获文件(以pcap格式)拆分为每个TCP连接的单独文件？ (除了本土的 shell脚本,可能需要在捕获中运行两次…).像wireshark的’跟随TCP流’但是对于命令行(我担心wireshark在显示700 MB数据包捕获时会占用大量内存) 我看了tcpflow,但它似乎生

是否有工具将数据包捕获文件(以pcap格式)拆分为每个TCP连接的单独文件？ (除了本土的 shell脚本,可能需要在捕获中运行两次…).像wireshark的’跟随TCP流’但是对于命令行(我担心wireshark在显示700 MB数据包捕获时会占用大量内存)

我看了tcpflow,但它似乎生成比原始pcap文件大得多的文件,它们似乎不是pcap格式.

解决方法

您也可以使用 PcapSplitter包,它是 PcapPlusPlus包的一部分.它完全符合您的需求(通过TCP或UDP连接拆分pcap文件),它是多平台的,并且它对原始文件中的连接数没有限制(因此您可以使用它来拆分大型pcap文件包含数千个连接甚至更多).上面的链接是针对源代码的,但如果你想要一个已编译的二进制文件 – here是我为几个平台制作的二进制文件的链接

编辑：显然PcapPlusPlus的新版本已经发布,它包含很多平台的PcapSplitter二进制文件(Windows,Ubuntu 12.04 / 14.04,Mac OSX Mavericks / Yosemite / El Captian).我认为使用这些二进制文件比我之前提供的链接更好.你可以找到它here

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!