用wireshark打开一个200M的.pcap文件,打开1/3的时候,报out of memory错误。
解决办法:
1、确认机器是64位机器,并升级wireshark版本为64位。
2、用wireshark自带的editcap命令行工具,将大文件切割成小文件,再打开,操作方法如下:
wireshark在安裝目錄(通常在C:\Program Files\Wireshark\下)有提供一些coommand line的公用程式
其中editcap.exe是用來編輯pcap的工具程式,而editcap的-c <數字>選項就是用來根將封包檔根據-c後面帶的數字將封包檔切割成含固定封包數量的小封包檔,c為小寫的c
如 下的指令,會將xfile.pcap切成500個封包一個檔案的pcap,而檔名會以test開頭,加上序號(從0000開始),如該指令產生出來的小檔 為,test_00000_20090902175620.pcap和test_00001_20090902175621.pcap
editcap -c 500 xfile.pcap test.pcap
如此,將封包檔切成較小的單位就可以開啟了