Nie ma prostego sposobu, aby to zrobić, istnieje kilka sposobów na zmniejszenie rozmiaru pliku, a także zapobieganie tak dużym plikom. Oto kilka arounds pracy:
tcpdump -r plik_we stosować filtry -w plik_wy
Przykład:
tcpdump -r firstcap.pcap -nn host 192.168.1.177 -w 177file.pcap
Z tego filtra będzie analizować wszystkie pakiety, które zawierają szereg 192.168. 1.177 do nowego pliku pcap o nazwie 177file.pcap; możesz również określić protokoły, takie jak tcp, udp, icmp i arp, i przeanalizować te pakiety w osobnym pliku.
Nie jestem pewien, można uzyskać określony zakres łatwo jest obejść drodze gdzie używasz głowę i ogon, aby skupić się na konkretnym zestawie linii:
na przykład:
Powiedzmy, że chcemy linie 400-500 w pliku 1000 pakietów:
tcpdump -r firstcap.pcap -c 500 | tail -100 >> outfile.txt
Spowoduje to wydrukowanie pierwszych 500 pakietów, a następnie rura że wyjście do ogona, który będzie po prostu pokazać ostatnie 100 pakietów wychwytywania 500 pakietów, tak skutecznie 400-500. Następnie dodajesz wspomniane pakiety w ASCII do pliku outfile.txt, tzn. Nie jest on już w formacie pcap.
UWAGA: Bardzo ważne jest, aby pamiętać, że tail wypisuje ostatnią liczbę N wierszy NIE pakietów, więc jeśli wyświetlasz pakiety w formacie szesnastkowym, musisz wziąć to pod uwagę w swoich obliczeniach.
Aby uniknąć tworzenia dużych plików pcap można obracać przechwytywania dość łatwo z tcpdump, pisałem o tym tutaj:
http://www.ppartyka.com/2014/03/tutorial-tcpdump-pcap-file-too-large.html
nadzieję, że to pomaga.