如何阅读多个pcap文件> 2GB?

时间:2009-07-27 10:27:45

标签: pcap tcpdump

我正在尝试使用libpcap解析大型pcap文件,但存在文件限制,因此我的文件以2gb分隔。我有10个2gb的文件,我想一次解析它们。是否有可能按顺序(每个文件单独)在接口上提供这些数据,以便libpcap可以在同一次运行中解析它们?

1 个答案:

答案 0 :(得分:1)

我不知道有任何工具可以让您一次重播多个文件。

但是,如果您有磁盘空间,则可以使用 mergecap 将十个文件合并到一个文件中,然后重播该文件。

Mergecap支持根据

合并数据包
  1. 每个文件中每个数据包的时间戳的时间顺序
  2. 忽略时间戳并执行相当于“cat”的数据包版本的内容;将第一个文件的内容写入输出,然后是下一个输入文件,然后是下一个。

    3. Mergecap是Wireshark发行版的一部分。

相关问题
最新问题