将pcap文件按照网络流量切割

Github项目地址：https://github.com/caesar0301/pkt2flow

该程序的内部函数使用 4 元组（src_ip、dst_ip、src_port、dst_port） 将数据包分隔为 TCP 或 UDP 流。每个流都将保存到一个 pcap 中 以 4 元组命名的文件和流的第一个数据包的时间戳。

说明：以下实验均在Ubuntu环境下

1、配置环境

#You can follow simple steps to make a compile (e.g. Ubuntu):
sudo apt install -y libpcap-devsudo apt install -y sconsgit clone https://github.com/caesar0301/pkt2flow.git
cd pkt2flow

2、数据上传

在pkt2flow文件夹下新建输入文件夹和输出文件夹，并把所要拆解的pcap放入数据文件夹中

./pkt2flow -uxv -o ./pkt2ed-pcap/ ./pkt2-pcap/testbed10000-13jun.pcap

./pkt2ed-pcap/ 表示生成后的文件所在文件夹

./pkt2-pcap/testbed10000-13jun.pcap 表示需要进行拆解的pcap文件

uxv 为可选参数具体内容如下

Options:-h	print this help and exit-u	also dump (U)DP flows-v	also dump the in(v)alid TCP flows without the SYN option-x	also dump non-UDP/non-TCP IP flows-o	(o)utput directory

3、运行结果

4、参考资料

https://www.zhihu.com/question/278323728/answer/2840443900

https://github.com/caesar0301/pkt2flow