Я пытаюсь анализировать большие файлы pcap с помощью libpcap, но есть ограничение на размер файла, поэтому мои файлы разделены на 2 ГБ. У меня есть 10 файлов по 2 ГБ, и я хочу разобрать их одним выстрелом. Есть ли возможность передавать эти данные на интерфейс последовательно (каждый файл отдельно), чтобы libpcap мог разобрать их в одном прогоне?
Как прочитать несколько файлов pcap > 2 ГБ?
Ответы (1)
Я не знаю никаких инструментов, которые позволят вам воспроизводить более одного файла за раз.
Однако, если у вас есть место на диске, вы можете использовать mergecap, чтобы объединить десять файлов в один файл, а затем воспроизвести его.
Mergecap поддерживает объединение пакетов в соответствии с
- хронологический порядок временной метки каждого пакета в каждом файле
- игнорирование временных меток и выполнение того, что составляет пакетную версию «кошки»; записать содержимое первого файла в выходной файл, затем следующий входной файл, затем следующий.
Mergecap является частью дистрибутива Wireshark.
person
Kelvin Edmison
schedule
04.09.2010
