同时过滤和合并pcap

Question

是否有人编写了一个实用程序，可以同时过滤和合并许多pcap-format数据包捕获文件？tshark和tcpdump筛选器，但不合并，mergecap合并，但不过滤。我正在尝试过滤64 of的捕获(压缩！)如果我不需要几GB的划痕空间和两个步骤，这将是一个小得多的文件，这两个步骤都很慢。

该实用程序必须在Linux上运行，并且理想情况下已经打包在Debian中。阅读压缩跟踪文件的能力是非常可取的。快速也是非常可取的(tshark需要10到30分钟来处理一个输入文件；其中有120个文件)。我可以忍受被限制在libpcap的S过滤器语法。

Answer 1

深入研究Debian中libpcap的反向依赖关系，我发现迹裂 (与利布迹捆绑在一起的命令行实用程序之一)可以同时进行筛选和合并，并且可以在20分钟内处理完整的数据集，这可能和我得到的一样好。这有点奇怪，你使用分裂工具合并过滤，但无论如何。