как разделить pcap файл на ряд меньших

Используйте editcap утилита, которая распределяется с Wireshark.

Лучший и самый быстрый способ пойти состоит в том, чтобы использовать SplitCap, который может разделить файлы дампа большого пакета на основе сессий, например. Таким образом, Вы вложили бы каждый сеанс TCP отдельный файл PCAP. SplitCap может также разделить пакеты в pcap файлы на основе IP-адресов.

Можно читать больше о SplitCap на блоге Netresec: http://www.netresec.com/?page=Blog&month=2011-05&post=Split-or-filter-your-PCAP-files-with-SplitCap

Загрузите SplitCap отсюда: http://www.netresec.com/?page=SplitCap

Удачи!

Я знаю, что этот ответ немного запоздал, но он может быть полезен и другим людям. Я нашел отличный инструмент для разделения файлов pcap: PcapSplitter . Он является частью библиотеки PcapPlusPlus , что означает, что он кроссплатформенный (Win32, Linux и Mac OS), и он может разбивать файлы pcap на основе различных критериев, таких как размер файла (который вам кажется нужным), но также по соединению, IP-адресу клиент / сервер, порту сервера (аналогично протоколу), количеству пакетов и т. д. Я нашел это очень полезным. Ссылка выше предназначена для исходного кода, но если вы не хотите / не знаете, как компилировать, я создал скомпилированные двоичные файлы для нескольких платформ, с которыми я использовал этот инструмент. Я очень рекомендую этот инструмент

РЕДАКТИРОВАТЬ: очевидно была выпущена новая версия PcapPlusPlus, и она содержит двоичные файлы PcapSplitter для довольно большого количества платформ (Windows, Ubuntu 12.04 / 14.04, Mac OSX Mavericks / Yosemite / El Captian) . Я думаю, что лучше использовать эти двоичные файлы, чем ссылку, которую я ранее предоставил. Вы можете найти его здесь

tcpdump -w trace.pcap -W 48 -G 300 -C 100 -i any port 41110

• -G 300 он будет изменен через 5 минут
• -W 48 количество файлов
• -C 100 размер файла 100 МБ
• порт вы можете указать порт на основе приложения