pcapファイルを小さなセットに分割する方法

巨大なpcapファイル（tcpdumpで生成）があります。Wiresharkで開こうとすると、プログラムが応答しなくなります。ファイルを小さなファイルのセットに分割して、それらを1つずつ開く方法はありますか？ファイルにキャプチャされたトラフィックは、2つのサーバー上の2つのプログラムによって生成されるため、tcpdumpの「ホスト」または「ポート」フィルターを使用してファイルを分割することはできません。Linuxの 'split'コマンドも試してみました:-)が、運がありません。Wiresharkはこの形式を認識しません。

-C、-r、および-wオプションを指定してtcpdump自体を使用できます。

tcpdump -r old_file -w new_files -C 10

「-C」オプションは、分割するファイルのサイズを指定します。例：上記の場合、新しいファイルのサイズはそれぞれ1,000万バイトになります。

editcapWiresharkで配布されているユーティリティを使用します。

私はこの答えが少し遅れていることを知っていますが、他の人にも役立つかもしれません。pcapファイルを分割するための素晴らしいツールPcapSplitterを見つけました。これはPcapPlusPlusライブラリの一部であり、クロスプラットフォーム（Win32、Linux、およびMac OS）であり、ファイルサイズ（必要と思われるもの）などのさまざまな基準に基づいてpcapファイルを分割できます。 IP、サーバーポート（プロトコルと同様）、パケット数など。非常に便利です。上記のリンクはソースコード用ですが、コンパイルの方法を知りたくない場合は、このツールを使用したいくつかのプラットフォーム用にコンパイル済みのバイナリを作成しました。このツールをとてもお勧めします

編集：明らかに、新しいバージョンのPcapPlusPlusがリリースされ、かなり多くのプラットフォーム（Windows、Ubuntu 12.04 / 14.04、Mac OSX Mavericks / Yosemite / El Captian）のPcapSplitterバイナリが含まれているようです。以前に提供したリンクよりも、これらのバイナリを使用する方が良いと思います。ここで見つけることができます

最善かつ最速の方法は、たとえばセッションに基づいて大きなパケットダンプファイルを分割できるSplitCapを使用することです。この方法では、各TCPセッションを個別のPCAPファイルで取得します。SplitCapは、IPアドレスに基づいてパケットをpcapファイルに分離することもできます。

NetResecブログでSplitCapの詳細を読むことができます：http : //www.netresec.com/? page=Blog&month=2011-05&post=Split-or-filter-your-PCAP-files-with-SplitCap

こちらからSplitCapをダウンロードしてください：http：//www.netresec.com/？ page = SplitCap

幸運を！

tcpdump -w trace.pcap -W 48 -G 300 -C 100 -i any port 41110

• -G 300 5分で回転します
• -W 48 ファイルの数
• -C 100 ファイルサイズ100 MB
• port アプリケーションに基づいてポートを指定できます