Heim > System-Tutorial > LINUX > So bedienen Sie PCAP-Dateien unter Linux

So bedienen Sie PCAP-Dateien unter Linux

王林
Freigeben: 2024-03-04 10:40:04
nach vorne
838 Leute haben es durchsucht

Linux下如何操作 pcap 文件

In diesem Artikel stelle ich einige Tools zum Bearbeiten von PCAP-Dateien und deren Verwendung vor.

Editcap und Mergecap

Wireshark, das beliebteste GUI-Sniffing-Tool, enthält tatsächlich eine Reihe sehr nützlicher Befehlszeilentools. Dazu gehören Editcap und Mergecap. editcap ist ein vielseitiger PCAP-Editor, der PCAP-Dateien auf verschiedene Arten filtern und aufteilen kann. mergecap kann mehrere PCAP-Dateien zu einer zusammenführen. Dieser Artikel basiert auf diesen Wireshark-Befehlszeilentools.

Wenn Sie Wireshark installiert haben, sind diese Tools bereits auf Ihrem System. Wenn es noch nicht installiert wurde, installieren wir als Nächstes das Wireshark-Befehlszeilentool. Es ist zu beachten, dass wir bei Debian-basierten Distributionen nur das Befehlszeilentool installieren können, ohne die Wireshark-GUI zu installieren. Bei Red Hat und den darauf basierenden Distributionen muss jedoch das gesamte Wireshark-Paket installiert werden.
Debian, Ubuntu oder Linux Mint

$ sudo apt-get install wireshark-common
Nach dem Login kopieren

Fedora, CentOS oder RHEL

$ sudo yum install wireshark
Nach dem Login kopieren

Nach der Installation der Tools können Sie editca und mergecap verwenden.

pcap-Dateifilterung

Mit editcap können wir den Inhalt der PCAP-Datei nach vielen verschiedenen Regeln filtern und die gefilterten Ergebnisse in einer neuen Datei speichern.

Filtern Sie zunächst die PCAP-Datei nach „Start- und Endzeit“. Mit den Optionen „-A und „-B “ können Pakete herausgefiltert werden, die in diesem Zeitraum eintreffen (z. B. von 14:30 bis 14:35 Uhr). Das Format der Uhrzeit ist „JJJJ-MM-TT HH:MM:SS“.

$ editcap -A '2014-12-10 10:11:01' -B '2014-12-10 10:21:01' input.pcap output.pcap 
Nach dem Login kopieren

Sie können auch bestimmte N Pakete aus einer bestimmten Datei extrahieren. Die folgende Befehlszeile extrahiert 100 Pakete (von 401 bis 500) aus der Datei „input.pcap“ und speichert sie in „output.pcap“:

$ editcap input.pcap output.pcap 401-500
Nach dem Login kopieren

Verwenden Sie die Option „-D “ (dup-window kann als Vergleichsfenstergröße angesehen werden, vergleichen Sie nur Pakete innerhalb dieses Bereichs), um doppelte Pakete zu extrahieren. Jedes Paket wird nacheinander mit seinen vorherigen -1 Paketen hinsichtlich Länge und MD5-Wert verglichen und bei Übereinstimmung verworfen.

$ editcap -D 10 input.pcap output.pcap
Nach dem Login kopieren

Sie können auch als Zeitintervall definieren. Verwenden Sie die Option „-w “, um Pakete zu vergleichen, die innerhalb von Zeit eintreffen.

$ editcap -w 0.5 input.pcap output.pcap 
Nach dem Login kopieren
PCAP-Datei teilen

Editcap kann auch eine große Rolle spielen, wenn Sie eine große PCAP-Datei in mehrere kleine Dateien aufteilen müssen. Teilen Sie eine PCAP-Datei in mehrere Dateien mit der gleichen Anzahl an Paketen auf

$ editcap -c (packets -per-[file]) (input -pcap-[file])(output -prefix)
Nach dem Login kopieren

Jede Ausgabedatei hat die gleiche Anzahl an Paketen und wird in der Form -NNNN benannt. PCAP-Datei nach Zeitintervall aufteilen

$ editcap -i (seconds -per-[file]) (input-pcap-[file]) (output-prefix)
Nach dem Login kopieren
PCAP-Dateien zusammenführen

Wenn Sie mehrere Dateien zu einer zusammenführen möchten, ist Mergecap praktisch. Beim Zusammenführen mehrerer Dateien sortiert mergecap standardmäßig die internen Datenpakete in zeitlicher Reihenfolge.

$ mergecap -w output.pcap input.pcap input2.pcap [input3.pcap . . .]
Nach dem Login kopieren

Wenn Sie die Zeitstempel ignorieren und die Dateien nur in der Reihenfolge in der Befehlszeile zusammenführen möchten, verwenden Sie die Option -a. Der folgende Befehl schreibt beispielsweise den Inhalt der Datei „input.pcap“ in „output.pcap“ und hängt danach den Inhalt von „input2.pcap“ an.

$ mergecap -a -w output.pcap input.pcap input2.pcap 
Nach dem Login kopieren
Zusammenfassung

In diesem Handbuch habe ich mehrere Beispiele für die Bearbeitung von PCAP-Dateien durch Editcap und Mergecap gezeigt. Darüber hinaus gibt es weitere verwandte Tools wie reordercap zum Neuordnen von Paketen, text2pcap zum Konvertieren von pcap-Dateien in das Textformat, pcap-diff zum Vergleichen der Ähnlichkeiten und Unterschiede von pcap-Dateien usw. Diese Tools und Paketinjektionstools sind sehr nützlich, wenn Sie Netzwerkeinbruchstests durchführen und Netzwerkprobleme beheben. Daher ist es am besten, sie zu kennen.


Das obige ist der detaillierte Inhalt vonSo bedienen Sie PCAP-Dateien unter Linux. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Quelle:linuxprobe.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage