有时候对PCAP包进行分析,会遇到内存不足打不开较大的PCAP,那么有两种方法解决这个问题,一个是写程序对PCAP进行过滤或者截取;另一个是使用Wireshark自带的函数进行PCAP切割,本篇选择使用Wireshark自带函数对PCAP进行切割。
wireshark自带两个工具,一个是editcap,可以用来切割pcap文件,另一个是mergecap,可以用来合并pcap文件。这两个工具都在wireshark的安装目录里。
1、切割pcap文件
editcap -c 10000 路径\src.pcap 路径\dest.pcap
参数说明:10000是切割后的pcap文件中每个文件中所包含的包的个数,路径\src.pcap是要被切割的pcap文件,路径\dest.pcap指定切割后的pcap文件的路径和文件名,会自动加编号。
2、合并pcap文件
mergecap -w destfile sourcefile1 sourcefile2
注意:工具执行是在cmd命令行模式中,有两种执行方式,一种是进行到wireshark的安装目录中,执行相应的工具;另一种方式是工具所在的路径添加到PATH环境中
来源:CSDN
作者:FY_2018
链接:https://blog.csdn.net/FY_2018/article/details/103962293