溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

Linux中怎么操作pcap文件

發(fā)布時間:2021-07-15 14:00:41 來源:億速云 閱讀:541 作者:Leah 欄目:系統(tǒng)運維

本篇文章為大家展示了Linux中怎么操作pcap文件,內(nèi)容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。

Editcap 與 Mergecap

Wireshark,是最受歡迎的 GUI 嗅探工具,實際上它帶了一套非常有用的命令行工具集。其中包括 editcap 與 mergecap。editcap 是一個萬能的 pcap 編輯器,它可以過濾并且能以多種方式來分割 pcap 文件。mergecap 可以將多個 pcap 文件合并為一個。 這篇文章就是基于這些 Wireshark 命令行工具的。

如果你已經(jīng)安裝過 Wireshark 了,那么這些工具已經(jīng)在你的系統(tǒng)中了。如果還沒裝的話,那么我們接下來就安裝 Wireshark 命令行工具。 需要注意的是,在基于 Debian 的發(fā)行版上我們可以不用安裝 Wireshark GUI 而僅安裝命令行工具,但是在 Red Hat 及 基于它的發(fā)行版中則需要安裝整個 Wireshark 包。

Debian, Ubuntu 或 Linux Mint

   

代碼如下:

$ sudo apt-get install wireshark-common

Fedora, CentOS 或 RHEL

   

代碼如下:

$ sudo yum install wireshark

當(dāng)安裝好工具后, 就可以開始使用 editca 與 mergecap 了。
pcap 文件過濾

通過 editcap, 我們能以很多不同的規(guī)則來過濾 pcap 文件中的內(nèi)容,并且將過濾結(jié)果保存到新文件中。

首先,以“起止時間”來過濾 pcap 文件。 " - A < start-time > 和 " - B < end-time > 選項可以過濾出在這個時間段到達的數(shù)據(jù)包(如,從 2:30 ~ 2:35)。時間的格式為 “ YYYY-MM-DD HH:MM:SS"。

   

代碼如下:

$ editcap -A '2014-12-10 10:11:01' -B '2014-12-10 10:21:01' input.pcap output.pcap

也可以從某個文件中提取指定的 N 個包。下面的命令行從 input.pcap 文件中提取100個包(從 401 到 500)并將它們保存到 output.pcap 中:

   

代碼如下:

$ editcap input.pcap output.pcap 401-500

使用 "-D < dup-window >" (dup-window可以看成是對比的窗口大小,僅與此范圍內(nèi)的包進行對比)選項可以提取出重復(fù)包。每個包都依次與它之前的 < dup-window > -1 個包對比長度與MD5值,如果有匹配的則丟棄。

   

代碼如下:

$ editcap -D 10 input.pcap output.pcap

    遍歷了 37568 個包, 在 10 窗口內(nèi)重復(fù)的包僅有一個,并丟棄。

也可以將 < dup-window > 定義成時間間隔。使用"-w < dup-time-window >"選項,對比< dup-time-window > 時間內(nèi)到達的包。

   

代碼如下:

$ editcap -w 0.5 input.pcap output.pcap

    檢索了 50000 個包, 以0.5s作為重復(fù)窗口,未找到重復(fù)包。

分割 pcap 文件

當(dāng)需要將一個大的 pcap 文件分割成多個小文件時,editcap 也能起很大的作用。

將一個 pcap 文件分割成數(shù)據(jù)包數(shù)目相同的多個文件

   

代碼如下:

$ editcap -c <packets-per-file> <input-pcap-file> <output-prefix>

輸出的每個文件有相同的包數(shù)量,以 < output-prefix >-NNNN的形式命名。

以時間間隔分割 pcap 文件

   

代碼如下:

$ editcap -i <seconds-per-file> <input-pcap-file> <output-prefix>

合并 pcap 文件

如果想要將多個文件合并成一個,用 mergecap 就很方便。

當(dāng)合并多個文件時,mergecap 默認將內(nèi)部的數(shù)據(jù)包以時間先后來排序。

   

代碼如下:

$ mergecap -w output.pcap input.pcap input2.pcap [input3.pcap . . .]

如果要忽略時間戳,僅僅想以命令行中的順序來合并文件,那么使用 -a 選項即可。

例如,下列命令會將 input.pcap 文件的內(nèi)容寫入到 output.pcap, 并且將 input2.pcap 的內(nèi)容追加在后面。

   

代碼如下:

$ mergecap -a -w output.pcap input.pcap input2.pcap

上述內(nèi)容就是Linux中怎么操作pcap文件,你們學(xué)到知識或技能了嗎?如果還想學(xué)到更多技能或者豐富自己的知識儲備,歡迎關(guān)注億速云行業(yè)資訊頻道。

向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI