Es gibt keine einfache Möglichkeit, dies zu tun, es gibt ein paar Möglichkeiten, um die Größe der Datei zu verringern, sowie solche großen Dateien zu verhindern. Hier sind ein paar Workarounds:
tcpdump -r infile Filter anwenden -w
Beispiel outfile:
tcpdump -r firstcap.pcap -nn host 192.168.1.177 -w 177file.pcap
Mit diesem Filter werden Sie alle Pakete analysieren, die den Host 192.168 enthalten. 1.177 zu einer neuen pcap-Datei namens 177file.pcap; Sie können auch Protokolle wie tcp, udp, icmp und arp angeben und diese Pakete in eine separate Datei auslagern.
Ich bin nicht sicher, ob Sie einen bestimmten Bereich leicht bekommen können, gibt es eine Arbeit um Art und Weise ist, wo Sie den Kopf und Schwanz verwenden, um auf einem bestimmten Satz von Linien auf Null in:
Beispiel:
Lassen Sie sich sagen Sie Linien 400-500 in einer 1000-Paket-Datei wollen:
tcpdump -r firstcap.pcap -c 500 | tail -100 >> outfile.txt
Dadurch wird die ersten 500 Pakete drucken, und dann Rohr der Ausgabe an Schwanz
, die gerade die letzten 100 Pakete der 500 Paketerfassung zeigen, so effektiv 400-500. Dann hängen Sie die genannten Packerts nur noch in ASCII an outfile.txt an, also nicht mehr im pcap-Format.
HINWEIS: Es ist sehr wichtig zu beachten, dass Tail die letzten N Zeilen NOT-Pakete druckt. Wenn Sie also die Pakete im Hex-Format anzeigen, müssen Sie dies in Ihrer Berechnung berücksichtigen.
Um zu vermeiden, große pcap-Dateien erstellen Sie eine Aufnahme ganz einfach mit tcpdump drehen kann, ich es hier schreiben:
http://www.ppartyka.com/2014/03/tutorial-tcpdump-pcap-file-too-large.html
Hoffnung, das hilft.