← retour aux snippets

editcap: extraire un sous-ensemble d'une capture pcap

Découper une capture par tranches de temps, plage de paquets ou filtres.

bash network #editcap#pcap#capture

objectif

Isoler la partie utile d’une grosse capture pour analyse.

code minimal

# extraire de 10s à 70s
editcap -A '2025-08-16 12:00:10' -B '2025-08-16 12:01:10' in.pcap out.pcap

utilisation

# 1 paquet sur 10
editcap -i 10 in.pcap sample.pcap

variante(s) utile(s)

# supprimer paquets corrompus
editcap -d badlist.txt in.pcap clean.pcap

notes

  • fourni avec Wireshark/tshark.
  • combinez avec mergecap/capinfos.