Linux에서 pcap 파일을 작동하는 방법

이 글에서는 pcap 파일을 조작하는 몇 가지 도구와 사용 방법을 소개하겠습니다.

Editcap 및 Mergecap

가장 인기 있는 GUI 스니핑 도구인 Wireshark에는 실제로 매우 유용한 명령줄 도구 세트가 함께 제공됩니다. 여기에는 editcap과 mergecap이 포함됩니다. editcap은 다양한 방법으로 pcap 파일을 필터링하고 분할할 수 있는 다용도 pcap 편집기입니다. mergecap은 여러 pcap 파일을 하나로 병합할 수 있습니다. 이 문서는 Wireshark 명령줄 도구를 기반으로 합니다.

Wireshark를 설치한 경우 이러한 도구는 이미 시스템에 있습니다. 아직 설치하지 않았다면 다음으로 Wireshark 명령줄 도구를 설치해 보겠습니다. Debian 기반 배포판에서는 Wireshark GUI를 설치하지 않고 명령줄 도구만 설치할 수 있지만 Red Hat 및 이를 기반으로 하는 배포판에서는 전체 Wireshark 패키지를 설치해야 합니다.
데비안, 우분투 또는 리눅스 민트

으아악

Fedora, CentOS 또는 RHEL

으아악

도구를 설치한 후 editca 및 mergecap을 사용할 수 있습니다.

pcap 파일 필터링

editcap을 통해 다양한 규칙에 따라 pcap 파일의 내용을 필터링하고 필터링된 결과를 새 파일에 저장할 수 있습니다.

먼저 "시작 및 종료 시간"을 기준으로 pcap 파일을 필터링합니다. " - A 및 " - B 옵션은 이 기간(예: 2:30 ~ 2:35) 동안 도착하는 패킷을 필터링할 수 있습니다. 시간 형식은 "YYYY-MM-DD HH:MM:SS"입니다.

으아악

특정 파일에서 지정된 N개의 패키지를 추출할 수도 있습니다. 다음 명령줄은 input.pcap 파일에서 100개의 패킷(401에서 500까지)을 추출하여 output.pcap에 저장합니다.

으아악

"-D "(dup-window는 비교 창 크기로 간주될 수 있으며 이 범위 내의 패키지만 비교) 옵션을 사용하여 중복 패키지를 추출합니다. 각 패킷은 이전 -1 패킷과 순서대로 길이 및 MD5 값을 비교하여 일치하는 항목이 있으면 폐기됩니다.

으아악

을 시간 간격으로 정의할 수도 있습니다. 시간 내에 도착하는 패킷을 비교하려면 "-w " 옵션을 사용하세요.

으아악

PCAP 파일 분할

editcap은 큰 pcap 파일을 여러 개의 작은 파일로 분할해야 할 때 큰 역할을 할 수도 있습니다. pcap 파일을 동일한 수의 패킷으로 여러 파일로 분할

으아악

각 출력 파일은 동일한 수의 패키지를 가지며 -NNNN 형식으로 이름이 지정됩니다. 시간 간격으로 PCAP 파일 분할

으아악

pcap 파일 병합

여러 파일을 하나로 병합하려면 mergecap이 편리합니다. 여러 파일을 병합할 때 mergecap은 기본적으로 내부 데이터 패킷을 시간 순서로 정렬합니다.

으아악

타임스탬프를 무시하고 명령줄의 순서대로 파일을 병합하려면 -a 옵션을 사용하세요. 예를 들어, 다음 명령은 input.pcap 파일의 내용을 output.pcap에 쓰고 그 뒤에 input2.pcap의 내용을 추가합니다.

으아악

요약

이 가이드에서는 pcap 파일을 작동하는 editcap 및 mergecap의 여러 예를 보여주었습니다. 또한 패킷 재정렬을 위한 reordercap, pcap 파일을 텍스트 형식으로 변환하는 text2pcap, pcap 파일의 유사점과 차이점을 비교하는 pcap-diff 등과 같은 기타 관련 도구도 있습니다. 이러한 도구와 패킷 주입 도구는 네트워크 침입 테스트를 수행하고 네트워크 문제를 해결할 때 매우 유용하므로 이에 대해 알아 두는 것이 가장 좋습니다.

---

위 내용은 Linux에서 pcap 파일을 작동하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!