Filtrar el archivo tcpdump DESPUÉS de la captura

Capturé un archivo tcpdump realmente grande que ahora siempre bloquea mi wirehark. Fue capturado sin filtros y necesito aplicar algunos después para hacer el archivo más pequeño.

¿Es esto de alguna manera posible?

Sí, es posible. Puede usar el siguiente comando:

tcpdump -r your_input_file.pcap -w your_output_file.pcap "your_filter"

Tcpdump leerá el archivo de entrada, aplicará el filtro y luego escribirá el archivo de salida. Solo necesita encontrar el filtro correcto.

Pruebe netsniff-ng , procesa secuencialmente el pcap a diferencia de Wireshark, que intenta cargar todo en la RAM.