Foto mit freundlicher Genehmigung von Michael_P
Dieser Artikel wurde von Balakrishnan M verfasst
Das Dienstprogramm Editcap wird verwendet, um bestimmte Pakete aus der Dump-Datei auszuwählen oder zu entfernen und sie in ein bestimmtes Format zu übersetzen. Editcap führt keine Paketerfassungen wie Ethereum durch. Stattdessen verarbeitet es die erfassten Pakete und schreibt einige der erforderlichen Pakete in eine andere Datei. Wir können verschiedene Optionen an editcap übergeben, um unsere bevorzugten Pakete zu erhalten.
In diesem Artikel sehen wir uns 11 praktische Beispiele an, wie man editcap verwendet, um Paket-Dumps effektiv zu handhaben.
Hauptzweck von editcap
Im Folgenden sind die Hauptgründe für die Verwendung des Befehls editcap aufgeführt.
- Teilen Sie eine Dump-Datei in mehrere Dateien auf.
- Wählen Sie nur die erforderlichen Pakete aus.
- Übersetzen Sie die Capture-Datei von einem Format in ein anderes.
- Fähigkeit, aus einer komprimierten Dump-Datei zu lesen.
- Erleichtern Sie die Arbeit für das Netzwerkanalysetool, indem Sie nur ausgewählte Pakete laden, anstatt den gesamten Dump zu laden.
- Alle Funktionen führen zu weniger Zeitaufwand bei der Verarbeitung oder Analyse von Paketen.
Nehmen wir das Szenario an, in dem Sie nur einige spezifische Pakettypen in einer riesigen Dump-Datei analysieren müssen. In dieser Situation können wir den Netzwerkpaketanalysator (Wireshark oder Ethereum) nicht verwenden, um die riesige Dump-Datei in einem einzigen Shoh zu laden, da dies ein CPU-intensiver Prozess ist und das System möglicherweise hängen bleibt. Das Editicap-Dienstprogramm erleichtert die Arbeit, indem es nur relevante Pakete ausgibt, sodass es vom Netzwerkanalysetool in kürzester Zeit geladen werden kann.
editcap ist im Wireshark-Paket enthalten. Stellen Sie sicher, dass das Wireshark/ethereal-Paket installiert ist, um das Editcap zu verwenden.
11 praktische Beispiele für die Verwendung von edicap
Beispiel 1:Satz von Paketen vom Anfang der input_dump-Datei verwerfen
Die Datei output_dump enthält alle Pakete außer den ersten 10 Paketen.
# editcap -v input_dump output_dump 1-10
Beispiel 2:Satz von Paketen aus der Mitte der input_dump-Datei verwerfen
Die Datei output_dump enthält alle Pakete außer den Paketen von 200 bis 210.
# editcap -v input_dump output_dump 200-210
Beispiel 3:Mehrere Paketbereiche auswählen (von Anfang bis Mitte)
Die Datei output_dump enthält die ersten 10 Pakete und Pakete von 100 bis 200.
# editcap -r -v input_dump output_dump 1-10 100-200
Beispiel 4:Ändern Sie den Kapselungstyp der Capture-Datei mit der Option -T
Standardmäßig ist der Kapselungstyp der Dump-Datei Ether. Das folgende Beispiel übersetzt die Capture-Datei in das ieee-802-11-bsd-Format
# editcap -v -T ieee-802-11-radiotap input_dump output_dump
Beispiel 5:Verarbeite die komprimierten input_dump-Dateien
editcap erkennt automatisch die komprimierten Capture-Dateiformate. Derzeit wird das gzip-Format unterstützt. Im Beispiel unten nimmt es Pakete aus der komprimierten Eingabedatei und schreibt die ersten 10 Pakete und die Pakete zwischen 100 und 200 in die Datei output_dump.
# editcap -r -v input_dump.gz output_dump 1-10 100-200
Beispiel 6:Extrahieren Sie Pakete zwischen einem bestimmten Zeitraum mit Option -A und -B
Dieses Beispiel erstellt den output_dump, der die Pakete enthält, die zwischen der in Option A genannten Zeit und der in Option B genannten Zeit erfasst wurden.
# editcap -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00" input_dump output_dump
Beispiel 7:Ändere den Zeitstempel des Pakets (kürzer oder vorgezogen) mit der Option -t
Um den Zeitstempel von Paketen um eine Stunde zu erhöhen.
# editcap -t 3600 input_dump output_dump
Um den Zeitstempel von Paketen auf 30 Minuten zu reduzieren,
# editcap -t -1800 input_dump output_dump
Beispiel 8:Entfernen Sie doppelte Pakete aus der Datei output_dump mit der Option -d
Das folgende Beispiel blickt auf die vorherigen Frames zurück, um die Duplizierung zu finden. Schließlich gibt es den Dump, der keine Duplizierung enthält.
# editcap -v -d input_dump output_dump
Beispiel 9:Die Pakete mit der Option -s auf die spezifische Länge kürzen
Erzeugt die ouptut_dump-Datei mit einer auf 100 begrenzten Paketlänge. Dies kann in vielen Situationen sehr hilfreich sein. Sie können diese Methode beispielsweise verwenden, wenn Sie nur die IP-Schicht aller Pakete erhalten möchten und keine andere Schicht benötigen.
# editcap -s 100 -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00" input_dump.gz output_dump
Beispiel 10:Unterteile die input_dump-Datei in mehrere Dateien mit der Option -c
Teilen Sie den einzelnen Dump in mehrere Dateien auf und jede enthält eine bestimmte Anzahl von Paketen.
# editcap -v -c 1000 input_dump output
Wenn der input_dump 5000 Pakete enthält, generiert editcap die folgenden 5 verschiedenen Ausgabedateien.
output-00000 output-00001 output-00002 output-00003 output-00004
Beispiel 11:Entferne bestimmte Bytes vom Ende aller Pakete mit Option -C
Dieses Beispiel entfernt 10 Bytes aus allen Paketen und schreibt in die Ausgabedatei. Sie können dies bestätigen, indem Sie die Ausgabedatei in Wireshark anzeigen. Die Frame-Schicht jedes Pakets zeigt „50 Bytes Bytes on Wire, 40 Bytes Capture“ (hier beträgt die tatsächliche Größe eines Pakets 50 Bytes).
# editcap -C 10 input_dump output
Dieser Artikel wurde von Balakrishnan Mariyappan. verfasst Er arbeitet bei bk Systems (p) Ltd und ist daran interessiert, zu Open Source beizutragen. The Geek Stuff freut sich über Ihre Tipps und Gastartikel.