Eu tenho um arquivo pcap enorme (gerado pelo tcpdump). Quando tento abri-lo no wireshark, o programa simplesmente não responde. Existe uma maneira de dividir um arquivo no conjunto de menores para abri-los um por um? O tráfego capturado em um arquivo é gerado por dois programas em dois servidores, portanto, não posso dividir o arquivo usando os filtros 'host' ou 'port' do tcpdump. Eu também tentei o comando 'split' do linux :-) mas sem sorte. O Wireshark não reconheceria o formato.
Use o utilitário editcap que é distribuído com o Wireshark.
O melhor e mais rápido caminho a percorrer é usar o SplitCap, que pode dividir grandes arquivos de despejo de pacotes com base em sessões, por exemplo. Dessa forma, você obteria cada sessão TCP em um arquivo PCAP separado. O SplitCap também pode separar pacotes em arquivos pcap baseados em endereços IP.
Você pode ler mais sobre o SplitCap no blog da Netresec: link
Faça o download do SplitCap aqui: link
Boa sorte!
Eu sei que esta resposta está um pouco atrasada, mas pode servir outras pessoas também. Eu encontrei uma ótima ferramenta para dividir arquivos pcap: PcapSplitter . É parte da biblioteca PcapPlusPlus que significa que é multi-plataforma (Win32, Linux e Mac OS), e pode dividir arquivos pcap com base em critérios diferentes como tamanho de arquivo (o que você parece precisar) mas também por conexão, IP de cliente / servidor, porto de servidor (semelhante a protocolo), contagem de pacotes, etc. eu achei isto muito útil. O link acima é para o código-fonte, mas se você não quiser / saber como compilar, criei binários compilados para várias plataformas com as quais tenho usado essa ferramenta. Eu recomendo muito essa ferramenta
EDIT: aparentemente uma nova versão do PcapPlusPlus foi lançada e contém binários do PcapSplitter para muitas plataformas (Windows, Ubuntu 12.04 / 14.04, Mac OSX Mavericks / Yosemite / El Captian). Acho melhor usar esses binários do que o link fornecido anteriormente. Você pode encontrá-lo aqui