分割cap或pcap格式的数据包文件工具

w_dalu · 发表于 2009-4-20 18:33:35

本帖最后由 w_dalu 于 2009-10-21 18:19 编辑

有时用wireshark抓包超过500M的文件，在用wireshark打开时很费劲，有时还会溢出，打开失败。
我特地准备一个分割pcap格式的数据包文件的工具.
把特别大的pcap或cap格式的数据包文件分割比较小的文件，分割后的数据包文件仍然可以用wireshark等分析工具打开，并且数据包总数不变（各个小文件中数据包之和等于大文件中的数据包个数）。
在windows下，在CMD下，在slice的目录下使用命令行开分割数据包。

Slice V2.0515 < Packet file split tool >.
Copyright 2008-2009 Darin <darinwang@gmail.com>

Usage:  slice.exe -r readfilename  [-c pktcount] [-f filter]
Options:
  -r  <readfile>       This file will be split into small files.
  -c  <packet count>    pktcount is the packet number in one split file. default is 10000.
  -f  <filter>             packet filter in libpcap filter syntax.
Output:
  The saved files which will be split are file001.pcap file002.pcap file003.pcap and so on.
  eg: slice.exe -r 123.pcap -c 50000 -f "tcp and port 80"
  eg: slice.exe -r 123.pcap -c 50000
  eg: slice.exe -r 123.pcap//默认每个小文件中的数据包为1万个。

[]是可选项，就是可以不选
例如。有个700M的pcap文件（mirror.pcap），700M一般大概有120万个数据包。
slice.exe -r mirror.pcap -c 500000
把700M的文件，按每500000个数据包，来自动分割
分割后的文件名为file001.pcap file002.pcap 。。。。。。
有时需要分割出特定的数据包，比如arp，看看有ARP风暴没？
slice.exe -r mirror.pcap -c 200000 -f arp

-------------------------------------------------------
2009.04.21更新
增加了过滤选项-f <filter> filter是包过滤在libpcap过滤器语法
比如：ip tcp udp arp icmp "port 80" "host 192.168.52.23"等
还有复合语法and or 连接的语法："host 192.168.62.12 and port 80 and tcp"
--------------------------------------------------------
有些WIN32系统，像WINDOWS 2000运行这个程序需要一些DLL链接库。
像packet.dll，wpcap.dll等
可以下载附件dll.rar解压到可执行文件slice.exe同目录下即可
--------------------------------
由于此程序是使用 VC++环境下生成的程序，需要Microsoft .NET Framework环境，所以，放置到未安装VC++（带有Microsoft .NET Framework）环境的机器下后，有时候会出现程序无法执行的错误，其提示是：应用程序配置不正确，程序无法启动，重新安装应用程序可能解决问题。解决办法：安装Microsoft .NET Framework 或者VC++
[ 本帖最后由 w_dalu 于 2009-6-11 11:48 编辑 ]

381513186 · 发表于 2009-4-20 18:41:44

终于找到了这个东西，我有时wireshark打开大文件时老提示溢出。
以前在网上搜了半天没有这样的软件

381513186 · 发表于 2009-4-21 11:08:50

good~~

w_dalu · 发表于 2009-4-27 18:15:29

有些WIN32系统，像WINDOWS 2000运行这个程序需要一些DLL链接库。
像packet.dll，wpcap.dll等
可以下载附件dll.rar解压到可执行文件slice.exe同目录下即可

shenzhensir · 发表于 2009-5-8 00:43:04

DINGDINGDINGDINGDINGDINGDINGDING

shenzhensir · 发表于 2009-5-8 01:17:14

ding,ding,ding,ding,ding,ding,ding,ding,ding,ding,ding,ding,ding,ding,ding,

w_dalu · 发表于 2009-5-18 10:36:41

发现wireshark中的editcap.exe也有分割的功能，好像有丢包现象。

[ 本帖最后由 w_dalu 于 2009-5-18 11:51 编辑 ]

almalm · 发表于 2009-6-20 00:37:49

终于找到了这个东西

whitefff · 发表于 2009-6-24 12:12:37

可执行程序呢？怎么找不到？

hanjian0205 · 发表于 2009-7-12 20:12:55

楼主，为什么我用的这个slice.exe执行的出现：系统无法执行指定的程序呢？我在xp下运行，下载了你在网络分析专家论坛上发的slice.exe,运行不行，我又用了dll文件，还是不行，麻烦你解答一下，万分感谢

bjtam · 发表于 2009-7-15 19:54:45

kokokokoko

dwep · 发表于 2009-7-27 14:38:28

这个不能在XP下用
我自己写了一个，linux下，XP下都可以拆包
大家也可以根据自己的需要自己写。

mengxiangfeiyan · 发表于 2009-8-8 21:53:11

谢谢分享。。。。

weittdd · 发表于 2009-8-14 15:51:29

look ,,,i kla ldf lasl

302 · 发表于 2009-8-20 13:16:48

一直在寻找这样的东西呢感谢楼主

302 · 发表于 2009-8-20 13:23:30

对呀找不到执行程序啊请问楼主这个软件在哪呢？谢谢

w_dalu · 发表于 2009-9-8 14:28:03

下载地址
http://download.csdn.net/source/1305180

w_dalu · 发表于 2009-9-27 16:20:01

由于此程序是使用 VC++环境下生成的程序，所以，放置到未安装VC环境的机器下后，有时候会出现程序无法执行的错误，其提示是：应用程序配置不正确，程序无法启动，重新安装应用程序可能解决问题。解决办法：安装VC++（最新版Visual c++ 2008 express）

codethefuture · 发表于 2010-10-30 20:20:57

非常不错，急需

田住鸿 · 发表于 2011-9-29 09:36:42

纹变2万元入读澳洲八大名校    2万元入读澳洲八大名校
2万元入读澳洲八大名校    2万元入读澳洲八大名校
2万元包你入读澳洲八大名校，本科研究生均可，名额有限，先到先得！
详情联系 020-28081925  28081926 q/1011523485  凯洋留学

09151
2万元入读澳洲八大名校    2万元入读澳洲八大名校
2万元入读澳洲八大名校    2万元入读澳洲八大名校
2万元入读澳洲八大名校    2万元入读澳洲八大名校

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
代人发贴 330元33万贴  专.业.代.发.帖Q/１０７772６4９

home.is · 发表于 2012-9-2 00:02:33

收藏了。感谢楼主

分割cap或pcap格式的数据包文件工具

本帖子中包含更多资源

评分

回复 1# 的帖子

回复 1# 的帖子

回复 1# 的帖子

okokokokok

呵呵

浏览过的版块