是否有什么可以打破tcpdump文件后捕获,并确保rest是在分组数据的边界?
像-C一样,但事实上。
我以前用过editcap ,取得了很大的成功。
editcap -c 1000 large-in.pcap smaller-out
该命令应该生成一个或多个名为smaller-out-00000 , smaller-out-00001等的文件,其中包含来自输入文件的第一,第二等千个数据包。
TCPSplit会做到这一点。 它甚至可以确保你在rest时不会丢失TCP会话。
您可以使用editcap根据数据包数量(或时间范围)进行拆分,或者如果您确实需要根据大小进行拆分,请尝试使用此脚本。
你看过csplit吗?
要简单地分割成一个可pipe理的大小,你应该可以用tcpdump本身来完成,使用-C,-w和-r选项。 但我还没有尝试过。