Vraag hoe een pcap-bestand te splitsen in een reeks kleinere


Ik heb een enorm pcap-bestand (gegenereerd door tcpdump). Wanneer ik probeer het in wireshark te openen, reageert het programma niet meer. Is er een manier om een ​​bestand op te splitsen in een reeks kleinere om ze een voor een te openen? Het verkeer dat in een bestand wordt vastgelegd, wordt gegenereerd door twee programma's op twee servers, dus ik kan het bestand niet splitsen met tcpdump 'host'- of' poort'-filters. Ik heb ook het 'split'-commando van Linux geprobeerd :-) maar zonder geluk. Wireshark zou het formaat niet herkennen.


45
2018-04-13 08:19


oorsprong


Hoe groot is enorm? Is het veel groter dan beschikbare RAM? - pehrs
Een beetje laat, maar de reden dat Wireshark geen bestanden zal lezen die de uitvoer zijn van split is omdat split op exacte bytegrenzen zal delen. Dit is hoogstwaarschijnlijk een pakket splitsen dat een deel van de bestandsinhoud ongeldig maakt. - Burhan Ali


antwoorden:


Je kunt tcpdump zelf gebruiken met de -C, -r en -w opties

tcpdump -r old_file -w new_files -C 10

De "-C" -optie specificeert de grootte van het bestand waarin gesplitst moet worden. Bijv .: In het bovenstaande geval zal de nieuwe bestandsgrootte elk 10 miljoen bytes zijn.


67
2018-04-13 09:33



Werkt goed! Bedankt! - Jinghao Shi
Geweldig. Goede hulp. Bedankt. - Brijesh Valera
Je bent een geweldig mens, Dan. - lobi
Is er een manier om dit te doen zonder een sessie te verbreken? (Ervan uitgaande dat een enkele sessie kleiner is dan het argument van de grootte-limiet). - spanishgum


Gebruik de editcap hulpprogramma dat wordt gedistribueerd met Wireshark.


18
2018-04-13 08:23



editpcap -c 1000 input.pcap output.pcap zal splitsen input.pcap omhoog in captures met een maximum van 1000 pakketten per capture. De uitvoer bestaat uit meerdere opnamebestanden die zijn opgemaakt zoals output_{index}_{timestamp}.pcap - blachniet
Bedankt voor het voorbeeld! Maar het is gewoon editcap, niet editpcap, toch? - lindhe


De beste en snelste manier om te gaan is om SplitCap te gebruiken, die grote pakket dump-bestanden kan splitsen op basis van bijvoorbeeld sessies. Op deze manier zou u elke TCP-sessie in een apart PCAP-bestand krijgen. SplitCap kan ook pakketten scheiden in pcap-bestanden op basis van IP-adressen.

Je kunt meer lezen over SplitCap op het Netresec-blog: http://www.netresec.com/?page=Blog&month=2011-05&post=Split-or-filter-your-PCAP-files-with-SplitCap

Download SplitCap van hier: http://www.netresec.com/?page=SplitCap

Succes!


2
2018-05-10 17:29



Zijn er Linux-versies? - ychaouche
Dit is een leuk programma, maar het ontbreekt aan de mogelijkheid om met pcapng-bestanden te werken. - Guntram Blohm


Ik weet dat dit antwoord iets laat is, maar het kan ook andere mensen dienen. Ik vond een geweldige tool voor het splitsen van pcap-bestanden: PcapSplitter. Het maakt deel uit van de PcapPlusPlus bibliotheek, wat betekent dat het platformonafhankelijk is (Win32, Linux en Mac OS) en dat het pcap-bestanden kan splitsen op basis van verschillende criteria, zoals de bestandsgrootte (wat u lijkt nodig te hebben) maar ook door verbinding, client / server IP, serverpoort ( vergelijkbaar met protocol), packettelling, etc. Ik vond het erg handig. De bovenstaande link is voor de broncode, maar als je niet wilt / weet hoe te compileren, heb ik gemaakt gecompileerde binaries voor verschillende platforms waarmee ik deze tool heb gebruikt. Ik raad deze tool heel erg aan

BEWERK: er is blijkbaar een nieuwe versie van PcapPlusPlus uitgebracht en deze bevat PcapSplitter binaries voor behoorlijk wat platforms (Windows, Ubuntu 12.04 / 14.04, Mac OSX Mavericks / Yosemite / El Captian). Ik denk dat het beter is om deze binaries te gebruiken dan de link die ik eerder heb verstrekt. Je kan het vinden hier


2
2017-07-08 21:45