通過 TCP 連接拆分 pcap 文件的工具？

是否有工具可以將數據包擷取文件（以 pcap 格式）拆分為每個 TCP 連接的單獨文件？（除了一個可能需要在擷取過程中執行兩次的自製 shell 腳本……）。類似於wireshark的’follow TCP stream’，但對於命令行（我擔心wireshark在顯示700 MB數據包擷取時會消耗大量記憶體）

我查看了tcpflow，但它似乎生成的文件比原始 pcap 文件大得多，而且它們似乎不是 pcap 格式。

您還可以使用PcapSplitter，它是PcapPlusPlus包的一部分。它完全滿足您的需求（通過 TCP 或 UDP 連接拆分 pcap 文件），它是多平台的，並且對原始文件中的連接數沒有限制（因此您可以使用它來拆分大pcap 文件包含數千個甚至更多的連接）。上面的連結是原始碼，但如果你想要一個編譯的二進製文件 -這是我為幾個平台製作的二進製文件的連結

**編輯：**顯然發布了新版本的 PcapPlusPlus，它包含適用於很多平台（Windows、Ubuntu 12.04/14.04、Mac OSX Mavericks/Yosemite/El Captian）的 PcapSplitter 二進製文件。我認為使用這些二進製文件比我之前提供的連結更好。你可以在這裡找到

引用自：https://serverfault.com/questions/273066