Filtern Sie die tcpdump-Datei nach der Aufnahme

Ich habe eine wirklich große tcpdump-Datei aufgenommen, die jetzt immer meinen Wireshark zum Absturz bringt. Es wurde ohne Filter aufgenommen und ich muss einige später anwenden, um die Datei kleiner zu machen.

Ist das irgendwie möglich?

Ja, es ist möglich. Sie können den folgenden Befehl verwenden:

tcpdump -r your_input_file.pcap -w your_output_file.pcap "your_filter"

Tcpdump liest die Eingabedatei, wendet den Filter an und schreibt dann die Ausgabedatei. Sie müssen nur den richtigen Filter finden.

Versuchen Sie es mit netsniff-ng. Im Gegensatz zu Wireshark, das versucht, alles in den Arbeitsspeicher zu laden, wird die PCAP nacheinander verarbeitet.