Mengolah file besar di Wireshark ; editcap , capinfos, tshark

Januari 19, 2011 pukul 4:16 pm | Ditulis dalam Wireshark Experience | 1 Komentar
Tag: , , , , , ,

Wireshark memang memiliki Graphical User yang cukup menawan, sehingga mempermudah kita sebagai pengguna untuk mencari informasi tentang statistic packet IO Graph, protocol distribution, dsb. Semuanya siap pakai di menu yang ada di dalam Wireshark.

Sayangnya, hal tersebut tidak dapat dimaanfatkan dengan maksimal apabila kita meng-load capture file yang besar. Pada saat kita menghadapi file yang sangat besar, hasil capture beberapa jam atau beberapa hari untuk trafik yang lumayan sibuk, walaupun kita hanya meng-save header nya sebanyak 64 bytes, file nya bisa membengkak menjadi lebih dari 200 MegaBytes !!

Di saat kita memakai Wireshark untuk membuka file tersebut, maka akan timbul masalah karena memory computer tidak cukup. Hal ini penulis alami, bahkan di computer dengan memory 2GB pun, kita tidak akan bisa membuka file dengan ukuran 450Mbytes. Sebelum saya mendapatkan file-file berukuran raksasa ini, saya hanya memanfaatkan wireshark saja, namun mau tidak mau, saat itu saya harus mencari cara lain untuk bisa membuka, bahkan melakukan analisa terhadap file-file raksasa tersebut.

Satu-satunya cara agar dapat melakukan analisa detail dari file besar, adalah kita harus bisa memecah file tersebut menjadi file-file yang lebih kecil, kemudian membuat statistic partial berdasarkan file-file yang lebih kecil tersebut.

Jawaban dari pertanyaan saya adalah perintah command line yang tersedia di wireshark, yang semuanya tersedia di directory \Program Files\Wireshark. Untuk mempermudah, saya memasukkan path dari wireshark tersebut ke PATH variable di system windows. Continue Reading Mengolah file besar di Wireshark ; editcap , capinfos, tshark…


Entries dan komentar feeds.