Как разделить большой PCAP-файл на несколько маленьких

Всем привет! Столкнулся недавно с такой проблемой: для поиска вредоносной сетевой активности была произведена запись трафика на сервере, да вот выходной файл получился большого размера (>500 MB) и WireShark, которым я обычно пользуюсь в таких случаях, пережевать файл не смог :(

Решено было поискать утилиты для разбивки большого PCAP на маленькие под ОС Windows. Такая утилита нашлась: SplitCap, консольная, как я люблю :)

Возможности достаточные, чтобы разбивать файл как кому будет удобно:

splitcap.exe -r <input.pcap> -o <output.dir> [-ip A.A.A.A] [-port NN] [-s flow | host | hostpair | nosplit | session | seconds XX | packets YY]

То есть можно разделить исходник на файлы следующим образом:

  • От конкретного IP-адреса;
  • Разные IP-адреса, каждый в свой файл;
  • По конкретному порту;
  • По конкретной сессии;
  • По конкретной паре хостов;
  • По конкретному времени (в секундах);
  • По количеству пакетах в файле…

Мне достаточно было просто уменьшить размер файла и я решил разбить на дампы по 100,000 пакетов, поэтому выполнил команду:

splitcap.exe -r ../dump.pcap -o . -s packets 100000

И проблема была решена очень быстро и изящно! Может кому-то ещё пригодится этот способ, буду только рад.

 

 

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply