Heim > Artikel > System-Tutorial > So bedienen Sie PCAP-Dateien unter Linux
So bedienen Sie PCAP-Dateien unter Linux
- 王林nach vorne
- 2024-03-04 10:40:04682Durchsuche
In diesem Artikel stelle ich einige Tools zum Bearbeiten von PCAP-Dateien und deren Verwendung vor.
Wireshark, das beliebteste GUI-Sniffing-Tool, enthält tatsächlich eine Reihe sehr nützlicher Befehlszeilentools. Dazu gehören Editcap und Mergecap. editcap ist ein vielseitiger PCAP-Editor, der PCAP-Dateien auf verschiedene Arten filtern und aufteilen kann. mergecap kann mehrere PCAP-Dateien zu einer zusammenführen. Dieser Artikel basiert auf diesen Wireshark-Befehlszeilentools.
Wenn Sie Wireshark installiert haben, sind diese Tools bereits auf Ihrem System. Wenn es noch nicht installiert wurde, installieren wir als Nächstes das Wireshark-Befehlszeilentool. Es ist zu beachten, dass wir bei Debian-basierten Distributionen nur das Befehlszeilentool installieren können, ohne die Wireshark-GUI zu installieren. Bei Red Hat und den darauf basierenden Distributionen muss jedoch das gesamte Wireshark-Paket installiert werden.
Debian, Ubuntu oder Linux Mint
$ sudo apt-get install wireshark-common
Fedora, CentOS oder RHEL
$ sudo yum install wireshark
Nach der Installation der Tools können Sie editca und mergecap verwenden.
Mit editcap können wir den Inhalt der PCAP-Datei nach vielen verschiedenen Regeln filtern und die gefilterten Ergebnisse in einer neuen Datei speichern.
Filtern Sie zunächst die PCAP-Datei nach „Start- und Endzeit“. Mit den Optionen „-A und „-B “ können Pakete herausgefiltert werden, die in diesem Zeitraum eintreffen (z. B. von 14:30 bis 14:35 Uhr). Das Format der Uhrzeit ist „JJJJ-MM-TT HH:MM:SS“.
$ editcap -A '2014-12-10 10:11:01' -B '2014-12-10 10:21:01' input.pcap output.pcap
Sie können auch bestimmte N Pakete aus einer bestimmten Datei extrahieren. Die folgende Befehlszeile extrahiert 100 Pakete (von 401 bis 500) aus der Datei „input.pcap“ und speichert sie in „output.pcap“:
$ editcap input.pcap output.pcap 401-500
Verwenden Sie die Option „-D “ (dup-window kann als Vergleichsfenstergröße angesehen werden, vergleichen Sie nur Pakete innerhalb dieses Bereichs), um doppelte Pakete zu extrahieren. Jedes Paket wird nacheinander mit seinen vorherigen -1 Paketen hinsichtlich Länge und MD5-Wert verglichen und bei Übereinstimmung verworfen.
$ editcap -D 10 input.pcap output.pcap
Sie können auch als Zeitintervall definieren. Verwenden Sie die Option „-w “, um Pakete zu vergleichen, die innerhalb von Zeit eintreffen.
$ editcap -w 0.5 input.pcap output.pcap
Editcap kann auch eine große Rolle spielen, wenn Sie eine große PCAP-Datei in mehrere kleine Dateien aufteilen müssen. Teilen Sie eine PCAP-Datei in mehrere Dateien mit der gleichen Anzahl an Paketen auf
$ editcap -c (packets -per-[file]) (input -pcap-[file])(output -prefix)
Jede Ausgabedatei hat die gleiche Anzahl an Paketen und wird in der Form -NNNN benannt. PCAP-Datei nach Zeitintervall aufteilen
$ editcap -i (seconds -per-[file]) (input-pcap-[file]) (output-prefix)
Wenn Sie mehrere Dateien zu einer zusammenführen möchten, ist Mergecap praktisch. Beim Zusammenführen mehrerer Dateien sortiert mergecap standardmäßig die internen Datenpakete in zeitlicher Reihenfolge.
$ mergecap -w output.pcap input.pcap input2.pcap [input3.pcap . . .]
Wenn Sie die Zeitstempel ignorieren und die Dateien nur in der Reihenfolge in der Befehlszeile zusammenführen möchten, verwenden Sie die Option -a. Der folgende Befehl schreibt beispielsweise den Inhalt der Datei „input.pcap“ in „output.pcap“ und hängt danach den Inhalt von „input2.pcap“ an.
$ mergecap -a -w output.pcap input.pcap input2.pcap
In diesem Handbuch habe ich mehrere Beispiele für die Bearbeitung von PCAP-Dateien durch Editcap und Mergecap gezeigt. Darüber hinaus gibt es weitere verwandte Tools wie reordercap zum Neuordnen von Paketen, text2pcap zum Konvertieren von pcap-Dateien in das Textformat, pcap-diff zum Vergleichen der Ähnlichkeiten und Unterschiede von pcap-Dateien usw. Diese Tools und Paketinjektionstools sind sehr nützlich, wenn Sie Netzwerkeinbruchstests durchführen und Netzwerkprobleme beheben. Daher ist es am besten, sie zu kennen.
Das obige ist der detaillierte Inhalt vonSo bedienen Sie PCAP-Dateien unter Linux. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!