[Network] 와이어샤크(Wireshark) pcap 파일 분할하기

서론

이번 글에서는 와이어샤크를 이용하여 대용량 패킷 캡처(.pcap) 파일을 분할하는 방법을 간단하게 알아보고자 한다.

 

또한, 해당 실습은 윈도우 운영체제 기반으로 진행된다.

패킷 분할 방법

먼저, 명령 프롬프트(CMD)를 실행 후 와이어샤크의 editcap.exe 파일이 있는 경로로 이동한다.

주로 C:\Program Files\Wireshark 안에 해당 파일이 존재한다.

 

 

다음으로는 명령어를 입력하여 패킷 파일 분할을 진행한다.

editcap.exe -c 100000 sample.pcap split.pcap

해당 명령어의 의미는 다음과 같다.

 

• editcap.exe -c <분할 파일당 패킷 개수> <원본 파일의 경로 및 이름> <분할시 저장할 파일 이름>

따라서 위 명령어는 sample.pcap 파일을 읽고 그 안에 있는 패킷을 10만개씩 끊어서 분할 파일을 생성한다는 뜻이다.

결과 확인하기

분할된 파일은 editcap.exe 파일이 있는 디렉토리 내에 생성된다. 결과는 다음과 같다.

명령어에서 정의한 이름과 분할된 파일들의 시퀀스 번호를 합쳐 서브 파일들이 생성된 것을 확인할 수 있다.