So brechen Sie große tcpdump-Dateien auf

7

Gibt es etwas, das die tcpdump-Datei nach der Erfassung auflösen und sicherstellen kann, dass sich die Unterbrechungen an der Grenze der Paketdaten befinden?

Wie -Caber nachträglich.

tcpdump Kyle Brandt
quelle
Liegt es daran, dass die Dateien zu groß sind oder dass sie leichter zu lesen sind?
Djangofan
djangofan: Zu groß, wenn ich sie in Wireshark lade, ist es fehlerhaft, weil es den Speicher nicht zuordnen kann. Greifen Sie nur nach dem Standard-96-Snap, aber sie gelten für ganze Tage.
Kyle Brandt

Antworten:

9

Ich habe editcapin der Vergangenheit mit großem Erfolg verwendet.

editcap -c 1000 large-in.pcap smaller-out

Dieser Befehl soll eine oder mehr Dateien erzeugt genannt smaller-out-00000, smaller-out-00001und so weiter, die Tannen enthält, zweite, usw. tausend Pakete aus der Eingabedatei.

Vatine
quelle
4

TCPSplit wird dies tun. Es stellt sogar sicher, dass Sie in der Pause keine TCP-Sitzungen verlieren.

Bill Weiss
quelle
Ich habe tcpsplit für Dateien mit bis zu 40 GB verwendet und es hat großartig funktioniert.
Scott Pack
3

Sie können editcapdie Aufteilung basierend auf der Anzahl der Pakete (oder dem Zeitbereich) verwenden. Wenn Sie wirklich auf der Grundlage der Größe aufteilen müssen, versuchen Sie dieses Skript.

James
quelle
1

Hast du angeschaut csplit?

Bis auf weiteres angehalten.
quelle
csplit ist nicht sehr nützlich für Binärdateien ...
James
1

Um einfach auf eine überschaubare Größe aufzuteilen, sollten Sie in der Lage sein, dies mit tcpdump selbst unter Verwendung der Optionen -C, -w und -r zu tun. aber ich habe es nicht versucht.

Dan Andreatta
quelle