SplitCap的使用

SplitCap的使用,第1张

来源:http://www.netresec.com/?page=SplitCap

SplitCap是免费的开源pcap文件分割器。SplitCap根据TCP和UDP会话将一个大型pcap文件拆分为多个文件,每个会话一个pcap文件。SplitCap还可以用于将pcap文件拆分为每个主机对的pcap文件,而不是会话。

SplitCap最好的特点之一就是它的速度非常快!

SplitCap中的TCP和UDP会话概念被定义为双向流,即所有具有相同5-touple(源主机、目标主机、源端口、目标端口、传输协议)的帧/数据包,不管包方向是同一会话的一部分。

SplitCap是使用NET framework 2.0用c#编写的。在运行SplitCap之前,请确保安装了它。大多数版本的MS Windows默认设置NET framework 2.0框架。

SplitCap是由Erik Hjelmvik提供的统计协议识别研究项目的一部分,该项目由瑞典互联网基础设施基金会虚指乱(the Swedish Internet Infrastructure Foundation)提供。

SplitCap可以从版本1.5中使用,以便有效地过滤基于一个或多个IP地址或udp端口号的大型PCAP文件。简单地使用“-s nosplit”选项和一个或多个“-端口”或“-ip”开关来指定从大型pcap文件中保留哪些流量。SplitCap执行这种类型的过滤的速度要快得多,而且与tshark相比,它的内存使用更少。

警告:当使用“- yl7”SplitCap提取差档应用层数据(L7)时,不执行任何适当的TCP会话重新组装。这意味着TCP重新传输和重叠部分将导致相同的数据写入两次。无序的TCP包也会导致应用程序层数据以无序的顺序存储。

可以进行适当的TCP会话重新组装的应用程序是NetworkMiner和Wireshark。

在我们的博客文章“拆分或过滤您的PCAP文件与SplitCap”中,您可以阅读


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/tougao/12302833.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-24
下一篇 2023-05-24

发表评论

登录后才能评论

评论列表(0条)

保存