キャプチャ後にtcpdumpファイルをフィルタリングする
非常に大きなtcpdumpファイルをキャプチャしました。これにより、常にワイヤーシャークがクラッシュします。フィルターなしでキャプチャされたため、後でファイルを小さくするためにいくつか適用する必要があります。
これはどういうわけか可能ですか?
はい、可能です。次のコマンドを使用できます。
tcpdump -r your_input_file.pcap -w your_output_file.pcap "your_filter"
Tcpdumpは入力ファイルを読み取り、フィルターを適用してから、出力ファイルを書き込みます。あなたはちょうど正しいフィルターを考え出す必要があります。
netsniff-ng を試してください。すべてをRAMにロードしようとするWiresharkとは異なり、pcapを順次処理します。