tcpセッションを維持しながらpcapファイルを分割する方法
Tcpトレースを含むpcapファイルがあります。
Tcpフローを維持するためにこれらのトレースを分割するだけでなく、srcipベースでトラフィックをフィルタリングする方法があるかどうか疑問に思いました。
たとえば、ネットワークに192.168.0.0/16に属するIPアドレスがある場合、トレースを2つのpcapに分割します。1つ目は192.168.0.0から192.168.127.127まで、2つ目は192.160.127.128から192.168.255.255。
同時に、外部サーバーへのtcp接続を失いたくありません。
Wiresharkはこれを実行できますか?
PcapPlusPlus スイートの一部であるPcapSplitterを使用することをお勧めします。コードを自分でコンパイルするか、いくつかのプラットフォームのバイナリを ここ からダウンロードできます。
このツールを使用して、次のように目的を達成できます。
PcapSplitter.exe -f your_file.pcap -i "net 192.168.0.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR1>
PcapSplitter.exe -f your_file.pcap -i "net 192.168.128.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR2>
実行するたびに、クライアントIPごとにpcapファイルを含むフォルダーが出力されます。最初のフォルダーは192.168.0.0から192.168.127.255の範囲のクライアントIP用で、もう1つのフォルダーは192.168.128.0から192.168.255.255の範囲のクライアントIP用です。次に、必要に応じて、mergecapまたは他のツールを使用して、各フォルダー内のpcapファイルをマージできます。