Mentre sono d'accordo il tempo di caricamento è più lungo di quanto ci si potrebbe aspettare, è probabile perché il file viene analizzato per generare una matrice di oggetti altamente composti. Quello che dovevo fare era usare editcap
per ritagliare i pacchetti catturati per renderli un po 'più facili da leggere. Per esempio:
$ editcap -B 2013-05-2810:05:55 -i 5 -F libpcap inputcapture.pcap outputcapture.pcap
Si prega di notare: una spiegazione completa degli interruttori di questo comando è disponibile here.
Inoltre, la parte -F libpcap
sembrava essere necessaria (almeno per me) per ottenere la funzione pcap
di scapy in grado di analizzare il file. (Questo dovrebbe essere il formato di output predefinito del file pcap, ma non è stato il mio caso, per qualsiasi motivo. Puoi verificare il tipo di file di input e output con capinfos
(ad esempio, inserisci semplicemente capinfos your_capture.pcap
)
Sia capinfos
e editcap
sono disponibili con la distribuzione WireShark
Quanto è grande il file pcap? Quanto ci vuole per leggerlo? È davvero troppo lungo (anche per caricarlo solo una volta)? Quante volte vuoi leggerlo (domanda retorica)? –
Il mio file è maggiore di 300 MB, devo lanciare lo script Python più di una volta. – auino
@auino, qual è in particolare il problema con il tempo di lettura? È necessario troppo tempo per sviluppare lo script quando si analizza un file da 300 MB ogni volta che si apporta una modifica o sono presenti requisiti di elaborazione in tempo reale? Inoltre, per favore ci dia un senso per quello che è un tempo di analisi accettabile –