在进行流量分析时，经常需要分析pcap流量包。但是体积过大的流量包不容易直接分析，经常需要按照一定的规则把它拆分成小的数据包。

这里统一选择cic数据集里的Thursday-WorkingHours.pcap包作为测试。

Wireshark 拆分流量包

Wireshark有很多功能，是捕获和分析网络流量的利器。这里不多说其他的功能，单单说一说它的拆分pcap包的功能。

1. 在菜单栏中“文件”中选择

2. 选择过滤规则和导出规则

因为是图形化界面操作，所以整个过程还是非常简单的。

SplitCap使用简介

SplitCap是一个命令行工具，从它的名字就可以看出来，它的主要功能就是拆分流量包，下面简单展示一下SplitCap的用法。

首先需要从官网上下载分割工具SplitCap，下载完后直接就是exe可执行文件，可以直接使用。

SplitCap官网：https://www.netresec.com/index.ashx?page=SplitCap

官网给的使用教程：

这里简单介绍一下命令行参数意义：

• -r：源文件路径
• -o：输出文件夹目录。如果为空，就为当前路径下生成与源文件名称一样的文件夹
• -s：选择划分方式
• -ip：ip过滤器
• -port：端口过滤器

更多参数信息可以直接去官网查看。

举例：

选择划分方法：flow。按照五元组（源端口号、目的端口号、协议号、源IP、目的IP）对流量包进行划分，也就是按流进行划分。

PS E:\data> .\SplitCap.exe -r Thursday-WorkingHours.pcap -s flow

魔数报错

有时候会出现这样的报错信息：

原因出在magic number上，报错信息显示原始pcap包的magic number是0xA0D0D0A，在网上查了一下，这是pcapng的magic number，而SplitCap不能处理pcapng，只能处理pcap，因此报错。

解决办法：修改后缀名，把pcap先变为pcapng，再用tshark转换成pcap包，

tshark -F pcap -r Thursday-WorkingHours.pcapng -w Thursday-WorkingHours.pcap

就可以正常分割了。

示例结果

划分结果：