场景
对流量的筛选,切割,合并
具体方法
Wireshark自带工具:
mergecap(合并流量包)
tshark(流量包过滤)
editcap(流量包分解)
流量包合并
mergecap -w total.pcap a.pcap b.pcap //(文件名太长简写成a和b)
筛选协议
tshark -r total.pcap -Y pop||smtp||http -w result.pcap(total.pcap为上一步合并的数据包)
切割
editcap.exe -c 100 D:\dump.pcap D:\test.pcap
参考
模拟企业网络流量进行入侵溯源分析
https://zhuanlan.zhihu.com/p/35623547