我有一个有700 udp流量的pcap文件。
我想选择每个流的前N个(比方说5个)数据包并丢弃该流的其他数据包,然后将它们合并为1个pcap。因此pcap文件将有(700 * 5)个数据包,每个5个数据包属于一个流。
有没有可以执行此操作的程序?
如果没有,最简单的方法是什么。
我使用的操作系统是Linux
答案 0 :(得分:0)
使用随Wireshark一起发布的editcap实用程序。
editpcap -c 1000 input.pcap output.pcap
命令会将input.pcap拆分为每次捕获最多1000个数据包的捕获。输出将是多个捕获文件,格式类似于output_ {index} _ {timestamp} .pcap。