Saring file tcpdump SETELAH pengambilan

Saya menangkap file tcpdump yang sangat besar yang sekarang selalu merusak wireshark saya. Itu ditangkap tanpa filter dan saya perlu menerapkan beberapa setelahnya untuk membuat file lebih kecil.

Apakah ini entah bagaimana mungkin?

Ya itu mungkin. Anda dapat menggunakan perintah berikut:

tcpdump -r your_input_file.pcap -w your_output_file.pcap "your_filter"

Tcpdump akan membaca file input, menerapkan filter, dan kemudian menulis file output. Anda hanya perlu membuat filter yang tepat.

Coba netsniff-ng , ia memproses pcap tidak seperti Wireshark, yang mencoba memuat semuanya ke dalam RAM.