Фильтр файла tcpdump ПОСЛЕ захвата
Я записал действительно большой файл tcpdump, который теперь всегда приводит к сбою моего wireshark. Он был захвачен без фильтров, и мне нужно применить его позже, чтобы уменьшить размер файла.
Это как-то возможно?
2 ответа
Решение
Да, это возможно. Вы можете использовать следующую команду:
tcpdump -r your_input_file.pcap -w your_output_file.pcap "your_filter"
Tcpdump будет читать входной файл, применять фильтр, а затем записывать выходной файл. Вам нужно просто придумать правильный фильтр.
Попробуйте http://netsniff-ng.org/, он последовательно обрабатывает pcap в отличие от Wireshark, который пытается загрузить все в оперативную память.