Как читать несколько файлов pcap> 2 ГБ?

Question

Я пытаюсь проанализировать большие файлы pcap с помощью libpcap, но есть ограничение на файл, поэтому мои файлы разделены на 2gb. У меня 10 файлов 2gb, и я хочу разобрать их одним выстрелом. Есть ли возможность кормить эти данные на интерфейсе последовательно (каждый файл отдельно), чтобы libpcap мог анализировать их при одном запуске?

Answer 1

Я не знаю никаких инструментов, которые позволят вам воспроизводить более одного файла за раз.

Однако, если у вас есть дисковое пространство, вы можете использовать mergecap, чтобы объединить десять файлов в один файл, а затем воспроизвести их.

Mergecap поддерживает объединение пакетов в соответствии с

1. хронологическом порядке временной метки каждого пакета в каждом файле
2. не обращая внимания на временные метки и выполнение того, что составляет версию пакета для «кошки»; напишите содержимое первого файла на выход, затем следующий входной файл, затем следующий.

Mergecap является частью распределения Wireshark.