Non c'è un modo semplice per farlo, ci sono un paio di modi per mitigare la dimensione del file, così come per prevenire file così grandi. Qui ci sono un paio di arounds di lavoro:
tcpdump -r infile applicare filtri -w outfile
Esempio:
tcpdump -r firstcap.pcap -nn host 192.168.1.177 -w 177file.pcap
Con questo filtro si analizzare fuori tutti i pacchetti che contengono l'host 192.168. 1.177 in un nuovo file pcap chiamato 177file.pcap; è anche possibile specificare protocolli come tcp, udp, icmp e arp e analizzare questi pacchetti in un file separato.
io non sono sicuro che si può ottenere una gamma specifica facilmente, c'è un lavoro intorno modo in cui si usa la testa e la coda a zero su uno specifico insieme di linee:
Per esempio:
Diciamo che si desidera linee 400-500 in un file di 1000 pacchetti:
tcpdump -r firstcap.pcap -c 500 | tail -100 >> outfile.txt
Questo stamperà i primi 500 pacchetti, e quindi il tubo che l'uscita alla coda che solo mostrare gli ultimi 100 pacchetti di cattura 500 pacchetti, così efficacemente 400-500. Quindi stai aggiungendo packert in ASCII a outfile.txt, ovvero non è più in formato pcap.
NOTA: È molto importante notare che la coda stampa l'ultimo numero N di linee NON pacchetti, quindi se si stanno visualizzando i pacchetti in formato esadecimale si dovrebbe tenerne conto nel calcolo.
per evitare di creare enormi file pcap è possibile ruotare una cattura abbastanza facilmente con tcpdump, ho scritto qui:
http://www.ppartyka.com/2014/03/tutorial-tcpdump-pcap-file-too-large.html
Spero che questo aiuti.
fonte
2014-03-13 13:57:23