Dans cet article, je présenterai quelques outils pour manipuler les fichiers pcap et comment les utiliser.
Wireshark, l'outil de détection d'interface graphique le plus populaire, est en fait livré avec un ensemble d'outils de ligne de commande très utiles. Ceux-ci incluent editcap et mergecap. editcap est un éditeur pcap polyvalent qui peut filtrer et diviser les fichiers pcap de différentes manières. mergecap peut fusionner plusieurs fichiers pcap en un seul. Cet article est basé sur ces outils de ligne de commande Wireshark.
Si vous avez installé Wireshark, ces outils sont déjà sur votre système. S'il n'a pas encore été installé, installons ensuite l'outil de ligne de commande Wireshark. Il convient de noter que sur les distributions basées sur Debian, nous pouvons installer uniquement l'outil de ligne de commande sans installer l'interface graphique de Wireshark, mais dans Red Hat et ses distributions basées sur celles-ci, l'intégralité du package Wireshark doit être installée.
Debian, Ubuntu ou Linux Mint
$ sudo apt-get install wireshark-common
Fedora, CentOS ou RHEL
$ sudo yum install wireshark
Après avoir installé les outils, vous pouvez commencer à utiliser editca et mergecap.
Grâce à editcap, nous pouvons filtrer le contenu du fichier pcap selon de nombreuses règles différentes et enregistrer les résultats filtrés dans un nouveau fichier.
Tout d’abord, filtrez le fichier pcap par « heure de début et de fin ». Les options " - A et " - B peuvent filtrer les paquets arrivant pendant cette période (par exemple, de 2h30 à 2h35). Le format de l'heure est "AAAA-MM-JJ HH:MM:SS".
$ editcap -A '2014-12-10 10:11:01' -B '2014-12-10 10:21:01' input.pcap output.pcap
Vous pouvez également extraire N packages spécifiés à partir d'un certain fichier. La ligne de commande suivante extrait 100 paquets (de 401 à 500) du fichier input.pcap et les enregistre dans output.pcap :
$ editcap input.pcap output.pcap 401-500
Utilisez l'option "-D " (dup-window peut être considérée comme la taille de la fenêtre de comparaison, comparez uniquement les packages dans cette plage) pour extraire les packages en double. Chaque paquet est comparé à ses paquets -1 précédents en séquence pour la longueur et la valeur MD5, et s'il y a une correspondance, il est rejeté.
$ editcap -D 10 input.pcap output.pcap
Vous pouvez également définir comme intervalle de temps. Utilisez l'option "-w " pour comparer les paquets arrivant dans le délai .
$ editcap -w 0.5 input.pcap output.pcap
editcap peut également jouer un rôle important lorsque vous devez diviser un gros fichier pcap en plusieurs petits fichiers. Divisez un fichier pcap en plusieurs fichiers avec le même nombre de paquets
$ editcap -c (packets -per-[file]) (input -pcap-[file])(output -prefix)
Chaque fichier de sortie a le même nombre de packages et est nommé sous la forme -NNNN. Diviser le fichier pcap par intervalle de temps
$ editcap -i (seconds -per-[file]) (input-pcap-[file]) (output-prefix)
Si vous souhaitez fusionner plusieurs fichiers en un seul, mergecap est pratique. Lors de la fusion de plusieurs fichiers, mergecap trie les paquets de données internes par ordre chronologique par défaut.
$ mergecap -w output.pcap input.pcap input2.pcap [input3.pcap . . .]
Si vous souhaitez ignorer les horodatages et souhaitez simplement fusionner les fichiers dans l'ordre de la ligne de commande, utilisez l'option -a. Par exemple, la commande suivante écrira le contenu du fichier input.pcap dans output.pcap et ajoutera le contenu de input2.pcap après celui-ci.
$ mergecap -a -w output.pcap input.pcap input2.pcap
Dans ce guide, j'ai montré plusieurs exemples de fichiers pcap exploitant editcap et mergecap. De plus, il existe d'autres outils connexes, tels que reordercap pour réorganiser les paquets, text2pcap pour convertir les fichiers pcap au format texte, pcap-diff pour comparer les similitudes et les différences des fichiers pcap, etc. Ces outils et outils d'injection de paquets sont très utiles lors de la réalisation de tests d'intrusion sur le réseau et du dépannage des problèmes de réseau, il est donc préférable de les connaître.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
