ホームページ > 記事 > システムチュートリアル > Linux で pcap ファイルを操作する方法
Linux で pcap ファイルを操作する方法
- 王林転載
- 2024-03-04 10:40:04803ブラウズ
この記事では、pcap ファイルを操作するためのツールとその使用方法をいくつか紹介します。
最も人気のある GUI スニッフィング ツールである Wireshark には、実際には非常に便利なコマンド ライン ツールのセットが付属しています。これらには、editcap と mergecap が含まれます。 editcap は、pcap ファイルをさまざまな方法でフィルタリングおよび分割できる多機能の pcap エディタです。 mergecap は複数の pcap ファイルを 1 つにマージできます。この記事は、これらの Wireshark コマンド ライン ツールに基づいています。
Wireshark をすでにインストールしている場合、これらのツールはすでにシステムに組み込まれています。まだインストールされていない場合は、次に Wireshark コマンド ライン ツールをインストールしましょう。 Debian ベースのディストリビューションでは、Wireshark GUI をインストールせずにコマンド ライン ツールのみをインストールできますが、Red Hat およびそのベースのディストリビューションでは、Wireshark パッケージ全体をインストールする必要があることに注意してください。
Debian、Ubuntu、または Linux Mint
Fedora、CentOS、または RHEL
リーリーツールをインストールしたら、editca と mergecap の使用を開始できます。
editcap を使用すると、さまざまなルールに従って pcap ファイルの内容をフィルタリングし、フィルタリングされた結果を新しいファイルに保存できます。
まず、「開始時間と終了時間」に基づいて pcap ファイルをフィルターします。 「 - A 」および「 - B 」オプションを使用すると、この時間帯 (たとえば、2:30 ~ 2:35) に到着するパケットを除外できます。時刻の形式は「YYYY-MM-DD HH:MM:SS」です。
リーリー指定した N 個のパッケージをファイルから抽出することもできます。次のコマンド ラインは、input.pcap ファイルから 100 パケット (401 ~ 500) を抽出し、output.pcap に保存します。 リーリー
「-D」(dup-window は比較用のウィンドウ サイズと見なすことができ、この範囲内のパッケージのみが比較されます) オプションを使用して重複パッケージを抽出します。各パケットは、その前の -1 パケットの長さと MD5 値と順番に比較され、一致する場合は破棄されます。 リーリー
を時間間隔として定義することもできます。 時間以内に到着したパケットを比較するには、「-w 」オプションを使用します。 リーリー
リーリー
各出力ファイルには同じ数のパッケージが含まれており、-NNNN の形式で名前が付けられます。 pcap ファイルを時間間隔で分割する リーリー
リーリー
タイムスタンプを無視して、コマンドラインの順序でファイルをマージするだけの場合は、-a オプションを使用します。たとえば、次のコマンドは、input.pcap ファイルの内容を Output.pcap に書き込み、その後に input2.pcap の内容を追加します。リーリー
以上がLinux で pcap ファイルを操作する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。