Filtrer le fichier tcpdump APRÈS capture

9

J'ai capturé un très gros fichier tcpdump qui plante désormais toujours mon wirehark. Il a été capturé sans filtre et je dois en appliquer par la suite pour réduire la taille du fichier.

Est-ce possible?

wireshark  tcpdump  filter 
Zulakis
source

Réponses:

13

Oui c'est possible. Vous pouvez utiliser la commande suivante:

tcpdump -r your_input_file.pcap -w your_output_file.pcap "your_filter"

Tcpdump va lire le fichier d'entrée, appliquer le filtre, puis écrire le fichier de sortie. Vous avez juste besoin de trouver le bon filtre.

Khaled
source
1

Essayez netsniff-ng , il traite séquentiellement le pcap contrairement à Wireshark, qui essaie de tout charger dans la RAM.

Jens Meier
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.