日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Linux下操作 pcap 文件具體方法

pcap文件是常用的數(shù)據(jù)報(bào)存儲(chǔ)格式,可以理解為就是一種文件格式,只不過(guò)里面的數(shù)據(jù)是按照特定格式存儲(chǔ)的,所以我們想要解析里面的數(shù)據(jù),也必須按照一定的格式,本篇文章將為大家重點(diǎn)講解一下Linux下操作 pcap 文件具體方法。

Linux下如何操作 pcap 文件Linux下如何操作 pcap 文件

下面,我將介紹一些操作 pcap 文件的工具,以及如何使用它們 。

Editcap 與 Mergecap

Wireshark,是最受歡迎的 GUI 嗅探工具,實(shí)際上它帶了一套非常有用的命令行工具集。其中包括 editcap 與 mergecap。editcap 是一個(gè)萬(wàn)能的 pcap 編輯器,它可以過(guò)濾并且能以多種方式來(lái)分割 pcap 文件。mergecap 可以將多個(gè) pcap 文件合并為一個(gè)。 這篇文章就是基于這些 Wireshark 命令行工具的。

如果你已經(jīng)安裝過(guò) Wireshark 了,那么這些工具已經(jīng)在你的系統(tǒng)中了。如果還沒裝的話,那么我們接下來(lái)就安裝 Wireshark 命令行工具。 需要注意的是,在基于 Debian 的發(fā)行版上我們可以不用安裝 Wireshark GUI 而僅安裝命令行工具,但是在 Red Hat 及 基于它的發(fā)行版中則需要安裝整個(gè) Wireshark 包。 Debian, Ubuntu 或 Linux Mint

$ sudo apt-get install wireshark-common

Fedora, CentOS 或 RHEL

$ sudo yum install wireshark

當(dāng)安裝好工具后, 就可以開始使用 editca 與 mergecap 了。

pcap 文件過(guò)濾

通過(guò) editcap, 我們能以很多不同的規(guī)則來(lái)過(guò)濾 pcap 文件中的內(nèi)容,并且將過(guò)濾結(jié)果保存到新文件中。

首先,以“起止時(shí)間”來(lái)過(guò)濾 pcap 文件。 ” – A 和 ” – B 選項(xiàng)可以過(guò)濾出在這個(gè)時(shí)間段到達(dá)的數(shù)據(jù)包(如,從 2:30 ~ 2:35)。時(shí)間的格式為 “ YYYY-MM-DD HH:MM:SS”。

$ editcap -A '2014-12-10 10:11:01' -B '2014-12-10 10:21:01' input.pcap output.pcap

也可以從某個(gè)文件中提取指定的 N 個(gè)包。下面的命令行從 input.pcap 文件中提取100個(gè)包(從 401 到 500)并將它們保存到 output.pcap 中:

$ editcap input.pcap output.pcap 401-500

使用 “-D ” (dup-window可以看成是對(duì)比的窗口大小,僅與此范圍內(nèi)的包進(jìn)行對(duì)比)選項(xiàng)可以提取出重復(fù)包。每個(gè)包都依次與它之前的 -1 個(gè)包對(duì)比長(zhǎng)度與MD5值,如果有匹配的則丟棄。

$ editcap -D 10 input.pcap output.pcap

也可以將 定義成時(shí)間間隔。使用”-w ”選項(xiàng),對(duì)比 時(shí)間內(nèi)到達(dá)的包。

$ editcap -w 0.5 input.pcap output.pcap

分割 pcap 文件

當(dāng)需要將一個(gè)大的 pcap 文件分割成多個(gè)小文件時(shí),editcap 也能起很大的作用。將一個(gè) pcap 文件分割成數(shù)據(jù)包數(shù)目相同的多個(gè)文件

$ editcap -c (packets -per-[file]) (input -pcap-[file])(output -prefix)

輸出的每個(gè)文件有相同的包數(shù)量,以 -NNNN的形式命名。以時(shí)間間隔分割 pcap 文件

$ editcap -i (seconds -per-[file]) (input-pcap-[file]) (output-prefix)

合并 pcap 文件

如果想要將多個(gè)文件合并成一個(gè),用 mergecap 就很方便。當(dāng)合并多個(gè)文件時(shí),mergecap 默認(rèn)將內(nèi)部的數(shù)據(jù)包以時(shí)間先后來(lái)排序。

$ mergecap -w output.pcap input.pcap input2.pcap [input3.pcap . . .]

如果要忽略時(shí)間戳,僅僅想以命令行中的順序來(lái)合并文件,那么使用 -a 選項(xiàng)即可。例如,下列命令會(huì)將 input.pcap 文件的內(nèi)容寫入到 output.pcap, 并且將 input2.pcap 的內(nèi)容追加在后面。

$ mergecap -a -w output.pcap input.pcap input2.pcap

總結(jié)

在這篇指導(dǎo)中,我演示了多個(gè) editcap、 mergecap 操作 pcap 文件的例子。除此之外,還有其它的相關(guān)工具,如 reordercap用于將數(shù)據(jù)包重新排序,text2pcap 用于將 pcap 文件轉(zhuǎn)換為文本格式, pcap-diff用于比較 pcap 文件的異同,等等。當(dāng)進(jìn)行網(wǎng)絡(luò)入侵測(cè)試及解決網(wǎng)絡(luò)問(wèn)題時(shí),這些工具與包注入工具非常實(shí)用,所以最好了解他們。


網(wǎng)站名稱:Linux下操作 pcap 文件具體方法
網(wǎng)頁(yè)路徑:http://www.5511xx.com/article/dhcceoj.html