Всем привет! Столкнулся недавно с такой проблемой: для поиска вредоносной сетевой активности была произведена запись трафика на сервере, да вот выходной файл получился большого размера (>500 MB) и WireShark, которым я обычно пользуюсь в таких случаях, пережевать файл не смог
Решено было поискать утилиты для разбивки большого PCAP на маленькие под ОС Windows. Такая утилита нашлась: SplitCap, консольная, как я люблю
Возможности достаточные, чтобы разбивать файл как кому будет удобно:
splitcap.exe -r <input.pcap> -o <output.dir> [-ip A.A.A.A] [-port NN] [-s flow | host | hostpair | nosplit | session | seconds XX | packets YY]
То есть можно разделить исходник на файлы следующим образом:
- От конкретного IP-адреса;
- Разные IP-адреса, каждый в свой файл;
- По конкретному порту;
- По конкретной сессии;
- По конкретной паре хостов;
- По конкретному времени (в секундах);
- По количеству пакетах в файле…
Мне достаточно было просто уменьшить размер файла и я решил разбить на дампы по 100,000 пакетов, поэтому выполнил команду:
splitcap.exe -r ../dump.pcap -o . -s packets 100000
И проблема была решена очень быстро и изящно! Может кому-то ещё пригодится этот способ, буду только рад.
Comments: