So bedienen Sie PCAP-Dateien unter Linux

In diesem Artikel stelle ich einige Tools zum Bearbeiten von PCAP-Dateien und deren Verwendung vor.

Editcap und Mergecap

Wireshark, das beliebteste GUI-Sniffing-Tool, enthält tatsächlich eine Reihe sehr nützlicher Befehlszeilentools. Dazu gehören Editcap und Mergecap. editcap ist ein vielseitiger PCAP-Editor, der PCAP-Dateien auf verschiedene Arten filtern und aufteilen kann. mergecap kann mehrere PCAP-Dateien zu einer zusammenführen. Dieser Artikel basiert auf diesen Wireshark-Befehlszeilentools.

Wenn Sie Wireshark installiert haben, sind diese Tools bereits auf Ihrem System. Wenn es noch nicht installiert wurde, installieren wir als Nächstes das Wireshark-Befehlszeilentool. Es ist zu beachten, dass wir bei Debian-basierten Distributionen nur das Befehlszeilentool installieren können, ohne die Wireshark-GUI zu installieren. Bei Red Hat und den darauf basierenden Distributionen muss jedoch das gesamte Wireshark-Paket installiert werden.
Debian, Ubuntu oder Linux Mint

$ sudo apt-get install wireshark-common

Fedora, CentOS oder RHEL

$ sudo yum install wireshark

Nach der Installation der Tools können Sie editca und mergecap verwenden.

pcap-Dateifilterung

Mit editcap können wir den Inhalt der PCAP-Datei nach vielen verschiedenen Regeln filtern und die gefilterten Ergebnisse in einer neuen Datei speichern.

Filtern Sie zunächst die PCAP-Datei nach „Start- und Endzeit“. Mit den Optionen „-A und „-B “ können Pakete herausgefiltert werden, die in diesem Zeitraum eintreffen (z. B. von 14:30 bis 14:35 Uhr). Das Format der Uhrzeit ist „JJJJ-MM-TT HH:MM:SS“.

$ editcap -A '2014-12-10 10:11:01' -B '2014-12-10 10:21:01' input.pcap output.pcap 

Sie können auch bestimmte N Pakete aus einer bestimmten Datei extrahieren. Die folgende Befehlszeile extrahiert 100 Pakete (von 401 bis 500) aus der Datei „input.pcap“ und speichert sie in „output.pcap“:

$ editcap input.pcap output.pcap 401-500

Verwenden Sie die Option „-D “ (dup-window kann als Vergleichsfenstergröße angesehen werden, vergleichen Sie nur Pakete innerhalb dieses Bereichs), um doppelte Pakete zu extrahieren. Jedes Paket wird nacheinander mit seinen vorherigen -1 Paketen hinsichtlich Länge und MD5-Wert verglichen und bei Übereinstimmung verworfen.

$ editcap -D 10 input.pcap output.pcap

Sie können auch als Zeitintervall definieren. Verwenden Sie die Option „-w “, um Pakete zu vergleichen, die innerhalb von Zeit eintreffen.

$ editcap -w 0.5 input.pcap output.pcap 

PCAP-Datei teilen

Editcap kann auch eine große Rolle spielen, wenn Sie eine große PCAP-Datei in mehrere kleine Dateien aufteilen müssen. Teilen Sie eine PCAP-Datei in mehrere Dateien mit der gleichen Anzahl an Paketen auf

$ editcap -c (packets -per-[file]) (input -pcap-[file])(output -prefix)

Jede Ausgabedatei hat die gleiche Anzahl an Paketen und wird in der Form -NNNN benannt. PCAP-Datei nach Zeitintervall aufteilen

$ editcap -i (seconds -per-[file]) (input-pcap-[file]) (output-prefix)

PCAP-Dateien zusammenführen

Wenn Sie mehrere Dateien zu einer zusammenführen möchten, ist Mergecap praktisch. Beim Zusammenführen mehrerer Dateien sortiert mergecap standardmäßig die internen Datenpakete in zeitlicher Reihenfolge.

$ mergecap -w output.pcap input.pcap input2.pcap [input3.pcap . . .]

Wenn Sie die Zeitstempel ignorieren und die Dateien nur in der Reihenfolge in der Befehlszeile zusammenführen möchten, verwenden Sie die Option -a. Der folgende Befehl schreibt beispielsweise den Inhalt der Datei „input.pcap“ in „output.pcap“ und hängt danach den Inhalt von „input2.pcap“ an.

$ mergecap -a -w output.pcap input.pcap input2.pcap 

Zusammenfassung

In diesem Handbuch habe ich mehrere Beispiele für die Bearbeitung von PCAP-Dateien durch Editcap und Mergecap gezeigt. Darüber hinaus gibt es weitere verwandte Tools wie reordercap zum Neuordnen von Paketen, text2pcap zum Konvertieren von pcap-Dateien in das Textformat, pcap-diff zum Vergleichen der Ähnlichkeiten und Unterschiede von pcap-Dateien usw. Diese Tools und Paketinjektionstools sind sehr nützlich, wenn Sie Netzwerkeinbruchstests durchführen und Netzwerkprobleme beheben. Daher ist es am besten, sie zu kennen.

---

Das obige ist der detaillierte Inhalt vonSo bedienen Sie PCAP-Dateien unter Linux. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!