Linux分割PCAP文件的三种方式

【前言】

当pcap文件太大以致于wireshark无法打开时，您就需要借助一些工具进行pcap文件的分割。本文章中介绍的方法仅是笔者所了解的，望相互学习~

在学习分割pcap文件前，最好先了解pcap文件的格式呦~

【方式一】

wireshark自带的editcap。首先进入wireshark安装目录。

（I）按包数量分割。

editcap -c count input.pcap output.pcap

输出的每个文件都有count个数据包，以output-NNN.pcap命名。

eg:editcap -c 1000 chicago.pcap c.pcap  

得到分割结果如下：

              

（II）按时间间隔分割

editcap -i  <seconds-per-file>  input.pcap output.pcap

【方式二】

  Linux下的split命令。按文件大小byte分割。（只介绍b参数，其余请自行Google）

split  -b  <byte>  <input-file>

eg:split -b 100k  chicago.pcap

【方式三】

使用tcpdump的r和c参数拆分。

eg:tcpdump -r chicago.pcap -c 1000 -w output.pcap

【对比】

方式一和方式二均将整个pcap文件拆分成若干小文件。方式三则相当于提取pcap文件的前n个数据包。

三种方式得到的pcap文件均能继续被wireshark打开。

但前两种方式会修改pcap文件的格式，若您自己编程根据pcap file header、packet header、packet..顺序读取分析pcap文件，前两种方式不会成功，但tcpdump拆分后的

pcap文件仍然可以被程序读取。