tcpdumpで取ったパケットダンプがでかすぎて開けない
パケットダンプファイルが大きすぎて、wiresharkで開こうとするとランタイムエラーが出て開けない。
パケットダンプファイルが大きすぎて、tcpdump -rで開いたもののメモリ上に全部のらなくて検索とかできない。
そんな時はtcpsliceコマンドでダンプファイルを分割しましょう。
# tcpslice -t dump.pcap dump.pcap 109y05m01d10h20m28s861544u 109y05m15d10h20m37s097574u # tcpslice -w sliced_dump.pcap 09y05m15d10h20m35s +1 dump.pcap
まず-tオプションでそのパケットダンプがいつからいつのものか確認。
tcpsliceコマンドで抜き出したい範囲を指定して-wでファイルに吐き出す。
上の例では2009年05月15日 10時20分35秒から1秒分吐き出しています。
これを知らなかったので、「見れねーよ。・゚・(ノД`)ウワーン」となってあせりました。