Capturé un archivo tcpdump realmente grande que ahora siempre bloquea mi wirehark. Fue capturado sin filtros y necesito aplicar algunos después para hacer el archivo más pequeño.
¿Es esto de alguna manera posible?
9
Sí, es posible. Puede usar el siguiente comando:
tcpdump -r your_input_file.pcap -w your_output_file.pcap "your_filter"
Tcpdump leerá el archivo de entrada, aplicará el filtro y luego escribirá el archivo de salida. Solo necesita encontrar el filtro correcto.
Pruebe netsniff-ng , procesa secuencialmente el pcap a diferencia de Wireshark, que intenta cargar todo en la RAM.