用wireshark打開一個200M的.pcap文件,打開1/3的時候,報out of memory錯誤。
解決辦法:
1、確認機器是64位機器,并升級wireshark版本為64位。
2、用wireshark自帶的editcap命令行工具,將大文件切割成小文件,再打開,操作方法如下:
wireshark在安裝目錄(通常在C:\Program Files\Wireshark\下)有提供一些coommand line的公用程式
其中editcap.exe是用來編輯pcap的工具程式,而editcap的-c <數字>選項就是用來根將封包檔根據-c後面帶的數字將封包檔切割成含固定封包數量的小封包檔,c為小寫的c
如 下的指令,會將xfile.pcap切成500個封包一個檔案的pcap,而檔名會以test開頭,加上序號(從0000開始),如該指令產生出來的小檔 為,test_00000_20090902175620.pcap和test_00001_20090902175621.pcap
editcap -c 500 xfile.pcap test.pcap
如此,將封包檔切成較小的單位就可以開啟了