Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Бесплатная замена Wireshark для длинных CAP файлов (http://forum.oszone.net/showthread.php?t=328330)

senglory 14-07-2017 09:47 2751291
Бесплатная замена Wireshark для длинных CAP файлов
 
Пытаюсь открыть CAP файл в 3 гига - Wireshark его затягивает весь в память и благополучно падает, съев чуть меньше его трети. Посоветуйте , плиз, бесплатный аналог Wireshark, который имел бы UI и умел бы работать с синтаксисом фильтров из Wireshark. Желательно под WinXP и 32 бита.

freese 14-07-2017 10:53 2751304
Цитата:
Цитата senglory
Пытаюсь открыть CAP файл в 3 гига ....Желательно под WinXP и 32 бита. »
увы, что-то мне подсказывает что вы ничего не найдете что будет работать

senglory 14-07-2017 12:09 2751331
А в чем проблема? Могу рассмотреть и небесплатные варианты. В упор не пойму нафига иметь этот файл загруженный в память целиком.

Charg 14-07-2017 14:51 2751380
К тому что 32битные версии ОС умеют работать только с ~3.5гб оперативной памяти, из которых 3гб ты хочешь загрузить одним файлом. А еще память нужна на работу ОС + работу всего софта тоже нужна память. Её не хватает вот всё и падает. Если софт не крашится а зависает - теоретически ты можешь подождать оченьмноговремени пока ОС выгрузит всё остальное в файл подкачки и попробовать работать так, но вряд ли из этого что-то получится.
Цитата:
Цитата senglory
В упор не пойму нафига иметь этот файл загруженный в память целиком. »
А как ты собрался работать с большим логом при этом НЕ имея его целиком в памяти? Динамически догружать-выгружать его тудасюда после каждого запроса? Это уже не работа с файлом а работа с базой данных.

freese 14-07-2017 15:13 2751388
Ну если верить интернетам, то впринципе можно разделять файл, а не пробовать впихнуть невпихуемое

Скрытый текст

C:\Program Files\Wireshark>capinfos -eac proverka.cap
File name: proverka.cap
Number of packets: 7983737
Start time: Wed Sep 07 11:26:15 2011
End time: Wed Sep 07 11:42:17 2011

Смотрим: "Number of packets: 7983737" равен приблизительно 8 мульёнам, соответственно, если разбить на файлы по 2 мульёна, получится 4 файла.

Так и поступим:

editcap -c 2000000 proverka.cap split.cap

Далее, подгрузим в wireshark и делаем то, что планировали.

senglory 14-07-2017 15:36 2751390
Цитата:
Цитата Charg
А как ты собрался работать с большим логом при этом НЕ имея его целиком в памяти? Динамически догружать-выгружать его тудасюда после каждого запроса? Это уже не работа с файлом а работа с базой данных. »
Ну да, мне и надо что-то , что умеет фильтровать через PCAP синтаксис и скроллить . Это что, так много?

x0r 14-07-2017 16:08 2751393
Цитата:
Цитата Charg
А как ты собрался работать с большим логом при этом НЕ имея его целиком в памяти? Динамически догружать-выгружать его тудасюда после каждого запроса? Это уже не работа с файлом а работа с базой данных. »
ну я хоть и не кодер, но читал кой-чего и помню, что подгружать весь файл это кагбе плохо. Давно-давно, читал что именно и нужно подгружать по-частям, "маппить" как-то так и это есть хороший-годный способ. а грузить полностью - суксь и тупо. не?

Busla 15-07-2017 11:58 2751556
Charg, это не лог, а дамп
с логом как раз не проблема работать последовательно

freese, и чего дальше с этими обрезками делать, если запрос к серверу будет в одном файле, а ответ в другом?

senglory, отфильтруйте его в другой дамп (по хосту, например) и частичный дамп уже и скрольте. Это можно сделать с помощью tshark.

x0r, мапить хорошо, когда данные в файле структурированы, а сетевой дамп - это непредсказуемая каша, которую надо разложить по полочкам.

Cascade Pilot работает с дампом, как с БД, т.е. строит к дампу внешний индекс, а не грузит всё в память. Есть бесплатная версия для личного пользования.


Время: 10:24.

Время: 10:24.
© OSzone.net 2001-