Configurando o Wireshark para Rolling Captures durante o ataque DDoS

Temos sido atingidos por ataques DDoS em várias máquinas durante meses. O datacenter roteará nulo ou configurará uma ACL para nós. No entanto, acabou de chegar à minha atenção que existe uma ferramenta flutuante destinada a direcionar Game Servers que realmente transforma outros servidores de jogos (usando um exploit no software) em zumbis, o que é essencialmente uma botnet massiva.

Como eu acredito strongmente que uma única porta está sendo usada para enviar esses ataques, eu gostaria de verificar isso antes de pedir ao Datacenter para bloquear esta porta para o tráfego de entrada completamente em nossas máquinas. Eu usei o Wireshark algumas vezes, mas apenas lendo, estou tendo dificuldades para descobrir como fazer isso.

1) Como posso configurar uma Captura de pacote que registrará toda a atividade de rede de entrada, mas dividi-la em arquivos de 1 GB ou menos. Parece que estamos sendo atingidos todas as noites agora, então posso deixar isso acontecer durante o horário de pico.

2) Ter um Capture em execução constante afetará negativamente o tráfego de rede?