Filtern Sie die tcpdump-Datei nach der Aufnahme

Ich habe eine wirklich große tcpdump-Datei aufgenommen, die jetzt immer meinen Wireshark zum Absturz bringt. Es wurde ohne Filter aufgenommen und ich muss einige später anwenden, um die Datei kleiner zu machen.

Ist das irgendwie möglich?

wireshark tcpdump filter

— Zulakis
quelle

Antworten:

Ja, es ist möglich. Sie können den folgenden Befehl verwenden:

tcpdump -r your_input_file.pcap -w your_output_file.pcap "your_filter"

Tcpdump liest die Eingabedatei, wendet den Filter an und schreibt dann die Ausgabedatei. Sie müssen nur den richtigen Filter finden.

— Khaled
quelle

Versuchen Sie es mit netsniff-ng. Im Gegensatz zu Wireshark, das versucht, alles in den Arbeitsspeicher zu laden, wird die PCAP nacheinander verarbeitet.

— Jens Meier
quelle

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.

Licensed under cc by-sa 3.0 with attribution required.