Dalam artikel ini, saya akan memperkenalkan beberapa alat untuk memanipulasi fail pcap dan cara menggunakannya.
Wireshark, alat menghidu GUI yang paling popular, sebenarnya datang dengan set alat baris arahan yang sangat berguna. Ini termasuk editcap dan mergecap. editcap ialah editor pcap serba boleh yang boleh menapis dan membahagi fail pcap dalam pelbagai cara. mergecap boleh menggabungkan beberapa fail pcap menjadi satu. Artikel ini adalah berdasarkan alat baris arahan Wireshark ini.
Jika anda telah memasang Wireshark, alatan ini sudah ada pada sistem anda. Jika ia belum dipasang lagi, mari pasang alat baris arahan Wireshark seterusnya. Perlu diingatkan bahawa pada pengedaran berasaskan Debian, kita boleh memasang hanya alat baris arahan tanpa memasang GUI Wireshark, tetapi dalam Red Hat dan pengedaran berasaskannya, keseluruhan pakej Wireshark perlu dipasang.
Debian, Ubuntu atau Linux Mint
$ sudo apt-get install wireshark-common
Fedora, CentOS atau RHEL
$ sudo yum install wireshark
Selepas memasang alat, anda boleh mula menggunakan editca dan mergecap.
Melalui editcap, kami boleh menapis kandungan fail pcap mengikut banyak peraturan yang berbeza dan menyimpan hasil yang ditapis ke fail baharu.
Pertama, tapis fail pcap mengikut "masa mula dan tamat". Pilihan " - A dan " - B boleh menapis paket yang tiba dalam tempoh masa ini (contohnya, dari 2:30 ~ 2:35). Format masa ialah "YYYY-MM-DD HH:MM:SS".
$ editcap -A '2014-12-10 10:11:01' -B '2014-12-10 10:21:01' input.pcap output.pcap
Anda juga boleh mengekstrak pakej N tertentu daripada fail tertentu. Baris arahan berikut mengekstrak 100 paket (dari 401 hingga 500) daripada fail input.pcap dan menyimpannya ke dalam output.pcap:
$ editcap input.pcap output.pcap 401-500
Gunakan pilihan "-D " (tetingkap dup boleh dianggap sebagai saiz tetingkap perbandingan, hanya bandingkan pakej dalam julat ini) untuk mengekstrak pakej pendua. Setiap paket dibandingkan dengan sebelumnya -1 paket dalam urutan untuk panjang dan nilai MD5, dan jika ada padanan, ia dibuang.
$ editcap -D 10 input.pcap output.pcap
Anda juga boleh mentakrifkan sebagai selang masa. Gunakan pilihan "-w " untuk membandingkan paket yang tiba dalam masa .
$ editcap -w 0.5 input.pcap output.pcap
editcap juga boleh memainkan peranan yang besar apabila anda perlu membahagikan fail pcap yang besar kepada beberapa fail kecil. Pisahkan fail pcap kepada berbilang fail dengan bilangan paket yang sama
$ editcap -c (packets -per-[file]) (input -pcap-[file])(output -prefix)
Setiap fail output mempunyai bilangan pakej yang sama dan dinamakan dalam bentuk -NNNN. Pisahkan fail pcap mengikut selang masa
$ editcap -i (seconds -per-[file]) (input-pcap-[file]) (output-prefix)
Jika anda ingin menggabungkan berbilang fail menjadi satu, mergecap adalah mudah. Apabila menggabungkan berbilang fail, mergecap mengisih paket data dalaman dalam susunan masa secara lalai.
$ mergecap -w output.pcap input.pcap input2.pcap [input3.pcap . . .]
Jika anda mahu mengabaikan cap masa dan hanya mahu menggabungkan fail mengikut tertib dalam baris arahan, kemudian gunakan pilihan -a. Sebagai contoh, arahan berikut akan menulis kandungan fail input.pcap ke output.pcap, dan menambah kandungan input2.pcap selepasnya.
$ mergecap -a -w output.pcap input.pcap input2.pcap
Dalam panduan ini, saya menunjukkan beberapa contoh fail pcap operasi editcap dan mergecap. Selain itu, terdapat alat lain yang berkaitan, seperti reordercap untuk menyusun semula paket, text2pcap untuk menukar fail pcap kepada format teks, pcap-diff untuk membandingkan persamaan dan perbezaan fail pcap, dan sebagainya. Alat dan alat suntikan paket ini sangat berguna apabila melakukan ujian pencerobohan rangkaian dan menyelesaikan masalah rangkaian, jadi sebaiknya anda mengetahui tentangnya.
Atas ialah kandungan terperinci Bagaimana untuk mengendalikan fail pcap di bawah Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
