Wireshark在实际应用中,往往会一次性捕获大量数据包,形成巨大的数据包文件。多数情况下一次分析或重放只需要关注涉及某条连接或者某个主机的数据包,这在文件中只占很小一部分。所以将巨大的数据包文件根据既定的数据包分类准则分割成一系列小文件,或从巨大的数据包文件中分割出所需的会话数据包形成小文件,是一类实际的需求。传统的数据包文件分割方法在面对大数据包文件时,由于时间复杂度和内存限制,需要运行漫长的时间,不具备可行性。文章介绍一种在Wireshark中利用Lua插件,对数据包文件进行高效率的按需抽取和分割的方法,将处理时间缩短到原来的10%以下。

• 单位
  复旦大学