Rumah > Tutorial sistem > LINUX > teks badan

Bagaimana untuk mengendalikan fail pcap di bawah Linux

王林
Lepaskan: 2024-03-04 10:40:04
ke hadapan
796 orang telah melayarinya

Linux下如何操作 pcap 文件

Dalam artikel ini, saya akan memperkenalkan beberapa alat untuk memanipulasi fail pcap dan cara menggunakannya.

Editcap dan Mergecap

Wireshark, alat menghidu GUI yang paling popular, sebenarnya datang dengan set alat baris arahan yang sangat berguna. Ini termasuk editcap dan mergecap. editcap ialah editor pcap serba boleh yang boleh menapis dan membahagi fail pcap dalam pelbagai cara. mergecap boleh menggabungkan beberapa fail pcap menjadi satu. Artikel ini adalah berdasarkan alat baris arahan Wireshark ini.

Jika anda telah memasang Wireshark, alatan ini sudah ada pada sistem anda. Jika ia belum dipasang lagi, mari pasang alat baris arahan Wireshark seterusnya. Perlu diingatkan bahawa pada pengedaran berasaskan Debian, kita boleh memasang hanya alat baris arahan tanpa memasang GUI Wireshark, tetapi dalam Red Hat dan pengedaran berasaskannya, keseluruhan pakej Wireshark perlu dipasang.
Debian, Ubuntu atau Linux Mint

$ sudo apt-get install wireshark-common
Salin selepas log masuk

Fedora, CentOS atau RHEL

$ sudo yum install wireshark
Salin selepas log masuk

Selepas memasang alat, anda boleh mula menggunakan editca dan mergecap.

penapisan fail pcap

Melalui editcap, kami boleh menapis kandungan fail pcap mengikut banyak peraturan yang berbeza dan menyimpan hasil yang ditapis ke fail baharu.

Pertama, tapis fail pcap mengikut "masa mula dan tamat". Pilihan " - A dan " - B boleh menapis paket yang tiba dalam tempoh masa ini (contohnya, dari 2:30 ~ 2:35). Format masa ialah "YYYY-MM-DD HH:MM:SS".

$ editcap -A '2014-12-10 10:11:01' -B '2014-12-10 10:21:01' input.pcap output.pcap 
Salin selepas log masuk

Anda juga boleh mengekstrak pakej N tertentu daripada fail tertentu. Baris arahan berikut mengekstrak 100 paket (dari 401 hingga 500) daripada fail input.pcap dan menyimpannya ke dalam output.pcap:

$ editcap input.pcap output.pcap 401-500
Salin selepas log masuk

Gunakan pilihan "-D " (tetingkap dup boleh dianggap sebagai saiz tetingkap perbandingan, hanya bandingkan pakej dalam julat ini) untuk mengekstrak pakej pendua. Setiap paket dibandingkan dengan sebelumnya -1 paket dalam urutan untuk panjang dan nilai MD5, dan jika ada padanan, ia dibuang.

$ editcap -D 10 input.pcap output.pcap
Salin selepas log masuk

Anda juga boleh mentakrifkan sebagai selang masa. Gunakan pilihan "-w " untuk membandingkan paket yang tiba dalam masa .

$ editcap -w 0.5 input.pcap output.pcap 
Salin selepas log masuk
Pisah fail pcap

editcap juga boleh memainkan peranan yang besar apabila anda perlu membahagikan fail pcap yang besar kepada beberapa fail kecil. Pisahkan fail pcap kepada berbilang fail dengan bilangan paket yang sama

$ editcap -c (packets -per-[file]) (input -pcap-[file])(output -prefix)
Salin selepas log masuk

Setiap fail output mempunyai bilangan pakej yang sama dan dinamakan dalam bentuk -NNNN. Pisahkan fail pcap mengikut selang masa

$ editcap -i (seconds -per-[file]) (input-pcap-[file]) (output-prefix)
Salin selepas log masuk
Gabungkan fail pcap

Jika anda ingin menggabungkan berbilang fail menjadi satu, mergecap adalah mudah. Apabila menggabungkan berbilang fail, mergecap mengisih paket data dalaman dalam susunan masa secara lalai.

$ mergecap -w output.pcap input.pcap input2.pcap [input3.pcap . . .]
Salin selepas log masuk

Jika anda mahu mengabaikan cap masa dan hanya mahu menggabungkan fail mengikut tertib dalam baris arahan, kemudian gunakan pilihan -a. Sebagai contoh, arahan berikut akan menulis kandungan fail input.pcap ke output.pcap, dan menambah kandungan input2.pcap selepasnya.

$ mergecap -a -w output.pcap input.pcap input2.pcap 
Salin selepas log masuk
Ringkasan

Dalam panduan ini, saya menunjukkan beberapa contoh fail pcap operasi editcap dan mergecap. Selain itu, terdapat alat lain yang berkaitan, seperti reordercap untuk menyusun semula paket, text2pcap untuk menukar fail pcap kepada format teks, pcap-diff untuk membandingkan persamaan dan perbezaan fail pcap, dan sebagainya. Alat dan alat suntikan paket ini sangat berguna apabila melakukan ujian pencerobohan rangkaian dan menyelesaikan masalah rangkaian, jadi sebaiknya anda mengetahui tentangnya.


Atas ialah kandungan terperinci Bagaimana untuk mengendalikan fail pcap di bawah Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber:linuxprobe.com
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan