在PCAP文件中重新组装片段

Question

我们有大量的(100个MiB-3 GiB) PCAP文件，这些文件有巨大的UDP数据报，这些数据报非常分散，我们需要用Python处理它们，最好是按数据报处理，而不必首先将所有内容读入内存，这是因为文件的潜在大小。我正在寻找一个包，能够读取和重组IP包。我看过pypcapfile，dpkt和scapy。其中，AFAICT只对片段进行scapy重新组合，但它需要首先将文件完全读入内存，而且无论如何，GPLv2许可证在我们的组织中是无法容忍的。有没有其他的PCAP读取和处理包，可以解码和进行片段重组，最好是按数据报数据报？

或者--这不是python问题--是否有一个OTS命令行工具可以将数据包从一个PCAP重新组装到另一个PCAP？我尝试了tshark与-r，-w，-Y ip.flags.mf==0或-R ip.flags.mf==0，到目前为止还没有骰子。

Answer 1

关于最后一部分，这可能是解决办法：

tshark -nlr $infile -qz "follow,tcp,raw,$stream" | tail -n +7 | sed 's/^\s\+//g' | xxd -r -p > ${outfile}.txt