So brechen Sie große tcpdump-Dateien auf

Gibt es etwas, das die tcpdump-Datei nach der Erfassung auflösen und sicherstellen kann, dass sich die Unterbrechungen an der Grenze der Paketdaten befinden?

Wie -Caber nachträglich.

tcpdump

— Kyle Brandt
quelle

Liegt es daran, dass die Dateien zu groß sind oder dass sie leichter zu lesen sind?

— Djangofan

djangofan: Zu groß, wenn ich sie in Wireshark lade, ist es fehlerhaft, weil es den Speicher nicht zuordnen kann. Greifen Sie nur nach dem Standard-96-Snap, aber sie gelten für ganze Tage.

— Kyle Brandt

Antworten:

Ich habe editcapin der Vergangenheit mit großem Erfolg verwendet.

editcap -c 1000 large-in.pcap smaller-out

Dieser Befehl soll eine oder mehr Dateien erzeugt genannt smaller-out-00000, smaller-out-00001und so weiter, die Tannen enthält, zweite, usw. tausend Pakete aus der Eingabedatei.

— Vatine
quelle

TCPSplit wird dies tun. Es stellt sogar sicher, dass Sie in der Pause keine TCP-Sitzungen verlieren.

— Bill Weiss
quelle

Ich habe tcpsplit für Dateien mit bis zu 40 GB verwendet und es hat großartig funktioniert.

— Scott Pack

Sie können editcapdie Aufteilung basierend auf der Anzahl der Pakete (oder dem Zeitbereich) verwenden. Wenn Sie wirklich auf der Grundlage der Größe aufteilen müssen, versuchen Sie dieses Skript.

— James
quelle

Hast du angeschaut csplit?

— Bis auf weiteres angehalten.
quelle

csplit ist nicht sehr nützlich für Binärdateien ...

— James

Um einfach auf eine überschaubare Größe aufzuteilen, sollten Sie in der Lage sein, dies mit tcpdump selbst unter Verwendung der Optionen -C, -w und -r zu tun. aber ich habe es nicht versucht.

— Dan Andreatta
quelle

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.

Licensed under cc by-sa 3.0 with attribution required.