Ausgabedatei von tcpdump in mehrere Teile splitten
Mit dem Kommandozeilen-Programm tcpdump kann der gesamte Netzwerkverkehr mitgeschnitten und in einer Ausgabedatei gespeichert werden (siehe Netzwerk-Kommunikation mit tcpdump mitschneiden). Wenn diese Ausgabedatei zu groß geworden ist, kann das Einlesen mit Wireshark sehr lange dauern.
Einen bereits vorhandenen Mitschnitt kann tcpdump mit der Option -r einlesen. Durch die Option -C können Sie die gewünschte Größe der Ausgabedateien angeben. Den Pfad und Dateinamen für die einzelnen Teile geben Sie durch die Option -w an. Der Dateiname wird dann automatisch durch eine fortlaufende Zahl erweitert. Mit der Option -s0 wird sichergestellt, dass die Pakete nicht nach 65535 Bytes abgeschnitten werden.
[root@centos5 ~]# tcpdump -r capture.pcap -C 100 -s0 -w splited_capture.pcap
Falls Sie die Teildateien wieder zusammenfügen wollen, rufen Sie mergecap wie folgt auf.
[root@centos5 ~]# mergecap -s0 -w merged_capture.pcap splited_capture.pcap splited_capture.pcap1 splited_capture.pcap2
Dieser Eintrag wurde am 02.07.2011 erstellt und zuletzt am 24.01.2016 bearbeitet.
Direkter Link zu dieser Seite: http://www.gtkdb.de/index_7_1332.html
[ Zur Startseite ] [ Zur Kategorie ]
© 2004-2021 by Georg Kainzbauer