SplitCap切分pcap包

最新推荐文章于 2024-10-24 14:49:34 发布
最新推荐文章于 2024-10-24 14:49:34 发布
阅读量6.2k 收藏 29
点赞数 7
文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/airenKKK/article/details/121545001
版权
本文介绍了SplitCap这款免费工具,用于根据IP、5元组或MAC地址拆分PCAP文件,提供Windows、Mac和Linux下的使用教程及命令实例,适用于网络取证和流量分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SplitCap下载

SplitCap 是一款免费工具,旨在根据 IP 地址、5 元组或 MAC 地址等标准将捕获文件(PCAP 文件)拆分为较小的文件。下载地址:SplitCap

Windows下使用

下载完SplitCap后,可以在windows终端中直接使用,常用选项如下:

-r #指定输入文件(*.pcap)
-o #指定切分后输出目录
-s #指定切分模式,如下
  bssid : Traffic grouped based on WLAN BSSID
  flow : Each flow, i.e. unidirectional traffic for a 5-tuple, is grouped
  host : Traffic grouped to one file per host. Most packets will end up in two files.
  hostpair : Traffic grouped based on host-pairs communicating
  mac : Traffic grouped to one file per MAC address. Most packets will end up in two files.
  nosplit : Do not split traffic. Only create ONE output pcap.
  (default) session : Packets for each session (bi-directional flow) are grouped
  seconds <s> : Split on time, new file after <s> seconds.
  packets <c> : Split on packet count, new file after <c> packets.
-ip #指定IP过滤条件
-port #指定端口过滤条件
-y #指定输出文件形式
  L7 #仅保存应用层数据
  (default) pcap #默认保留所有数据

官方示例如下:

Example 1: SplitCap.exe -r dumpfile.pcap
Example 2: SplitCap.exe -r dumpfile.pcap -o session_directory
Example 3: SplitCap.exe -r dumpfile.pcap -s hostpair
Example 4: SplitCap.exe -r dumpfile.pcap -s flow -y L7
Example 5: SplitCap.exe -r dumpfile.pcap -s seconds 3600
Example 6: SplitCap.exe -r dumpfile.pcap -ip 1.2.3.4 -port 80 -port 443 -s nosplit
Example 7: SplitCap.exe -r C:\pcaps\ -recursive -s host -port 53 -o DNS_dir

Mac下使用

Mac下需要借助Mono搭配使用,下载地址:Mono
在这里插入图片描述
没有Visual Studio使用需求的话,推荐选择红框版本下载;
一路点击下一步即可安装完成,安装完的文件位置在:

/Library/Frameworks/Mono.framework

推荐加入环境变量以便全局使用Mono命令:

vim .zshrc
将以下命令加入:
export PATH="/Library/Frameworks/Mono.framework/Versions/Current/bin:$PATH"

之后运行和windows类似,只不过需要在之前加上 mono,例如:

mono SplitCap.exe -r dumpfile.pcap
#需要先 cd 到 SplitCap.exe 所在目录

linux下使用

同Mac,需要先安装Mono
以Ubuntu为例:

sudo apt install gnupg ca-certificates
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys 3FA7E0328081BFF6A14DA29AA6A19B38D3D831EF
echo "deb https://download.mono-project.com/repo/ubuntu stable-focal main" | sudo tee /etc/apt/sources.list.d/mono-official-stable.list
sudo apt update
sudo apt install mono-devel

安装完测试下是否可用:

vim hello.cs
#输入以下内容并保存退出
using System;

public class HelloWorld
{
    public static void Main(string[] args)
    {
        Console.WriteLine ("Hello Mono World");
    }
}

然后执行csc hello.cs 进行编译,如果成功会在当前目录下生成hello.exe文件,然后只执行mono hello.exe

Hello Mono World

出现该信息即可安装成功;
使用方式同Mac下

pcap常见拆分方法
Wait_Godot的博客
06-30 1653
简单介绍了流量的常见拆分方法,并就按流划分流量的方法举了实例。
Linux分割PCAP文件的三种方式
热门推荐
wwrzzu的博客
12-23 1万+
【前言】 当pcap文件太大以致于wireshark无法打开时,您就需要借助一些工具进行pcap文件的分割。本文章中介绍的方法仅是笔者所了解的,望相互学习~ 在学习分割pcap文件前,最好先了解pcap文件的格式呦~ 【方式一】 wireshark自带的editcap。首先进入wireshark安装目录。 (I)按数量分割。 editcap -c count input.pcap o
Splitcap用法
lingffffighting的博客
06-08 551
【代码】Splitcap用法。
splitCap工具生成会话
weixin_46382990的博客
05-26 500
SplitCap划分pcap文件 - 知乎 (zhihu.com)
SplitPcap-Python
05-14
SplitPcap-Python 需要模块。 出于某些原因,pip install dpkt无法使用(在Mac上),因此请通过参考以下站点来安装1.8。 如何使用 # python split_pcap.py <pcap> <urllist>
SplitCap工具
qq_38194299的博客
06-04 1430
SplitCap 工具 原文链接: https://www.netresec.com/index.ashx?page=SplitCap 参考文章: https://www.jianshu.com/p/321e5ee32dc0
splitpcap 使用说明
jmhIcoding
06-05 2195
PCAP原始文件特别巨大的时候,整个文件直接载入内存是相当耗时的,于是一个简单的想法是将大的PCAP切分成若干小PCAP。对于这个任务,现有工具splitcap是可以完成的。无论是按照主机对、还是按照五元组信息切分splitcap都会将原始PCAP切分的过于分散。考虑一个括100W个会话的、文件大小为6G的原始PCAP,经过splitcap切换后可能会得到100W个小pcap文件。
SplitCap切分会话流并提取payload
perseverance_draxler的博客
05-05 4337
SplitCap是按照会话流来切割的工具,会话流由源IP、目的IP、源端口、目的端口四个部分组成。 Split切分pcap文件脚本(PowerShell)如下: foreach($f in gci 1_Pcap *.pcap) { 0_Tool\SplitCap_2-1\SplitCap -p 100000 -b 100000 -r $f.FullName -o 2_Session\AllLayers\$($f.BaseName)-ALL # 0_Tool\SplitCap_2-1\S
PCAP报文切割
weixin_44435894的博客
04-26 894
1.找到切割工具,editcap.exe。2.进入该目录,在cdm下。
Wireshark分割PCAP数据
邹亮的博客
10-29 3723
原始pcap如图, 含了七万多条数据,不便测试,因此想从中提取出三条数据作为测试。 在终端中,先cd到pcap的存放路径下: 然后输入命令: 即可拆分原始的pcap数据(IMU_test_data_20190619.pcap),得到多个小pcap数据,每个含有3条数据: ...
split_cap_2-1.zip
07-10
该工具可以将通过wireshark抓获取的pcap文件分为不同的session,每个session一个单独的文件
splitcap.zip
10-08
splitcap软件适用于pcap文件分流处理,可以快速根据五元组信息,将一个pcap文件分成若干个单向流或双向流,使用方法是编写ps脚本文件指定输入输出目录。
SplitCap.zip
05-10
可以将pcap按照五元组分为单独的流的软件,单独的流也是按pcap文件保存,流文件命名以原文件名+流五元组的方式命名。 仅支持windows
一个很棒的数据分流方法
菜小白的博客
03-23 6041
前段时间看流量分类方向的论文,看了许多中科大王伟老师的论文。受益匪浅,尝试着去学习借鉴。 因为流量分类的基本单元一般就是单个,整条流或者双向流。通常使用双向流Bi-Flow作为基本单元,而通过网卡接口抓取的pcap文件或者pcapng文件一般都有很多个session组成。所以分流一般都是预处理过程的第一步。 1.获取流量数据集 首先使用了开源数据集ISCX VPN and NO-VPN。 ISC...
USTC-TK2016工具集的一些问题
weixin_44426328的博客
04-20 1749
写论文用到USTC-TK2016,不得不说这个工具集有点坑,初次使用里面的bug能把人吓到,作为一名入坑人我讲讲我在使用时遇到的问题 1、该工具在第一步使用0_Tool中的工具进行切分时会报错,如果是这一步出问题,那么重新下载一个SplitCap,直接下载工具集中的SplitCap是不全的,重新下载就可以跑通了 2、后续的四个处理文件并无问题,可放心使用,也可根据需要进行改造 3、另一个问题是4.TrainAndTest中的traffic_cnn,这个文件在求accuracy、precision、recal
对指定的PCAP分析后,按照IP和PORT进行拆分PCAP
wozijisunfly的专栏
11-11 1402
#cs ____________________________________  Au3 版本: 3.3.6.1  脚本作者: wozijisunfly     Email: wozijisun@sina.com     QQ/TM:  脚本版本: v1.0  脚本功能: 实现读取PCAP后,分析信息,根据信息中的的IP:PORT筛选,拆分数据,并保存为PCAP
windwos环境下使用wireshark自带工具对pcap文件进行拆分
最新发布
qq_38150459的博客
10-24 366
editcap -c 100000 待分割文件目录\文件名.pcap 已分割文件目录\文件名.pcap。从cmd进行Wireshark的安装目录,使用命令。1、cmd到Wireshark安装目录下。
切分成多个小
weixin_47414034的博客
05-07 605
网络中只能传输小,所以需要将大的切分成多个小 对于接收方而言,如果接收到是经过分片的,那么需要将它们还原成原始的(分片重组) 的头部会有一个ID字段,同一个大的小ID字段值相同,此外们还有一个偏移量字段,表示这个分片在整个中所处的位置 ...
wireshark对pcap进行分割
Start_of_Our的博客
12-09 8591
使用 wireshark 软件对pcap进行分割 **pcap过大,将其分割成几个较小的** 步骤1:打开wireshark 文件 点击导出特定分组: 步骤2: 第一次分割:选择Range ,在右边的输入框输入分割的范围 0 - 100000 ,获取前面100000个,输入保存名称并保存。 步骤3: 第二次分割:选择Range ,在右边的输入框输入分割的范围 100000 - 114499 ,获取剩下数据,输入保存名称并保存。 最终结果 成功将原始的pcap分割成两个pcap
tcpdump切分pcap
07-30
TCPdump是一个强大的网络数据捕获工具,它允许用户实时监控计算机网络上的数据流量。当你使用tcpdump捕获网络数据并将其保存为 pcap 文件后,可能会因为文件过大而难以管理。这时可以考虑对 pcap 文件进行切分,以便于分析或存储。 切分pcap文件通常是因为单个文件超过了系统处理能力,或者需要将长时间的数据流拆分成更小的时间段。你可以通过以下步骤进行操作: 1. 使用tcpdump本身:运行tcpdump命令时,添加`-w`选项后面跟上文件名前缀,比如`tcpdump -w packet-`, 这样会生成一系列文件,如packet-000000.pcap, packet-000001.pcap等。 2. 利用其他工具:例如Wireshark,它可以打开pcap文件,并有“分割文件”功能。选择要分割的部分,然后导出为新的 pcap 文件。 3. 自动化脚本:如果需要批量处理大量文件,可以编写shell脚本或者Python程序,遍历目录下的pcap文件,按时间或其他条件切割。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值