Comment lire plusieurs fichiers pcap> 2GB?

Question

J'essaye d'analyser de grands fichiers de pcap avec libpcap mais il y a une limitation de fichier ainsi mes fichiers sont séparés à 2gb. J'ai 10 fichiers de 2 Go et je veux les analyser en un seul coup. Est-il possible de nourrir ces données sur une interface séquentiellement (chaque fichier séparément) afin que libpcap puisse les analyser dans le même cycle?

Answer 1

Je ne suis pas au courant des outils qui vous permettront de relire plus d'un fichier à la fois.

Toutefois, si vous disposez de l'espace disque, vous pouvez utiliser mergecap pour fusionner les dix fichiers en un seul fichier, puis relire cela.

Mergecap prend en charge la fusion des paquets selon

1. ordre chronologique de l'horodatage de chaque paquet dans chaque fichier
2. ignorant les horodateurs et exécuter ce qui équivaut à une version de paquet de « chat »; écrire le contenu du premier fichier à la sortie, puis le fichier d'entrée suivant, puis le suivant.

Mergecap fait partie de la distribution Wireshark.