我有一个PCAP文件,我想用tshark
命令读取,但太大了,无法装入内存(9GB,但读取每个数据包将在大约3000万个数据包后填满35GB的Google Colab)。
因此,我想将其分为四个部分,我可以分别阅读和处理。我试图通过使用下面的行过滤一帧的时间来拆分它。但是,这会继续扫描所有数据包,因此花费的时间太长。
!tshark -Y "(tcp or udp) && (frame.time <= \"2019-10-21 05:00:01\")" -r $file_name -l -T fields -e $FIELDS
处理内存太大的PCAP文件的最佳方法是什么?如何拆分而不丢失任何数据包?
据我所知,thsark将先读取并分析所有数据包,然后再执行其他操作。>>
您应该考虑使用tcpdump
来代替那些数据包分析更轻松的人。这样的速度应该快一些:
tcpdump -r“您的文件” -w“输出文件名” -C 400
其中每个新输出文件的大小(以兆字节为单位为400)。>>