≡菜单

Editcap Guide: 11 Examples To Handle Network Packet Dumps Effectively

Network Switch with Ethernet Cables
Photo courtesy of 迈克尔·P

This article is written 通过 Balakrishnan M
 
Editcap实用程序用于从转储文件中选择或删除特定数据包,并将其转换为给定格式。 Editcap不会像捕捉一样执行数据包捕获。相反,它对捕获的数据包进行操作,并将一些所需的数据包写入另一个文件。我们可以将各种选项传递给editcap以获取我们首选的数据包。

在本文中,让我们回顾11个有关如何使用editcap有效处理数据包转储的实际示例。

Primary Purpose of editcap

Following are the main reason to use editcap command.

  • Divide a dump file into multiple files.
  • Select 上ly the required packets.
  • Translate the capture file from 上e format to another.
  • Ability to read from a compressed dump file.
  • 通过仅加载选择性数据包,而不是加载整个转储,使网络分析器工具的工作更加轻松。
  • 所有功能都可以减少处理或分析数据包时的时间消耗。


让我们假设您只需要分析巨大的转储文件中的某些特定数据包类型的情况。在这种情况下,我们不能使用网络数据包分析器(wireshark或ethereal)在单个shoh中加载巨大的转储文件,因为这将是CPU密集型进程,并且系统可能会挂起。 Editicap实用程序仅提供相关的数据包,从而使工作更加轻松,因此可以通过网络分析仪工具快速加载。

editcap is available in the wireshark package. Make sure wireshark/ethereal package is installed to use the editcap.
 

11 Practical Examples Of edicap Usage

Example 1: Discard set of packets from the beginning of input_dump file

output_dump文件将包含除前10个数据包以外的所有数据包。

# editcap -v input_dump output_dump 1-10

Example 2: Discard set of packets from the middle of input_dump file

output_dump文件将包含除200到210的数据包以外的所有数据包。

# editcap -v input_dump output_dump 200-210

示例3:选择多个范围的数据包(从开始到中间)

output_dump文件将包含前10个数据包以及100和200中的数据包。

# editcap -r  -v input_dump output_dump 1-10  100-200

示例4:使用选项-T更改捕获文件的封装类型

默认情况下,转储文件的封装类型为ether。下面的示例将捕获文件转换为ieee-802-11-bsd格式

# editcap -v -T  ieee-802-11-radiotap input_dump output_dump

Example 5: Process the compressed input_dump files

editcap自动检测压缩的捕获文件格式。当前,它支持gzip格式。在下面的示例中,它从压缩的输入文件中提取数据包,并将前10个数据包以及介于100和200之间的数据包写入output_dump文件。

# editcap -r -v input_dump.gz output_dump 1-10 100-200

示例6:使用选项-A和-B在特定时间段之间提取数据包

本示例创建output_dump,其中包含在选项A中提到的时间和选项B中提到的时间之间捕获的数据包。

# editcap -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00"  input_dump output_dump

示例7:更改数据包’使用选项-t的时间戳(减少或增加)

To advances the timestamp of packets to 上e hour.

# editcap -t 3600 input_dump output_dump


To reduces the timestamp of packets to 30 minutes,

# editcap -t -1800 input_dump output_dump

示例8:使用选项-d从output_dump文件中删除重复的数据包

下面的示例回顾以前的帧以查找重复项。最后,它给出了不包含重复项的转储。

# editcap -v -d input_dump output_dump

Example 9: Truncate the packets to the specific length using option -s

生成数据包长度限制为100的ouptut_dump文件。这在很多情况下非常有用。例如,如果您只想获取所有数据包的IP层而不需要其他层,则可以使用此方法。

# editcap -s 100 -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00"  input_dump.gz output_dump

Example 10: Divide input_dump file into multiple files using option -c

将单个转储分为多个文件,每个文件包含指定数量的数据包。

# editcap -v -c 1000 input_dump output

 
如果input_dump包含5000个数据包,editcap将生成以下5个不同的输出文件。

output-00000 
output-00001    
output-00002
output-00003
output-00004

示例11:使用选项-C从所有数据包的底部删除某些字节

本示例从每个数据包中删除10个字节,并将其写入输出文件。您可以通过查看wireshark中的输出文件来确认这一点,每个数据包的帧层将显示“线上50字节字节,已捕获40字节”(此处,数据包的实际大小为50个字节)。

# editcap -C 10 input_dump output

 
This article was written 通过 Balakrishnan Mariyappan. 他在工作 bk Systems (p) Ltd, and interested in contributing to the open source. 极客的东西welcomes your tips and 客座文章.

If you enjoyed this article, you might also like..

  1. 50 Linux Sysadmin Tutorials
  2. 50 Most Frequently Used Linux Commands (With Examples)
  3. Top 25 Best Linux Performance Monitoring and Debugging Tools
  4. Mommy, I found it! – 15 Practical Linux Find Command Examples
  5. Linux 101 Hacks 2nd Edition eBook Linux 101 Hacks Book

Bash 101 Hacks Book Sed and Awk 101 Hacks Book Nagios Core 3 Book Vim 101 Hacks Book

{ 3 评论… 加一 }

  • 高拉夫 May 21, 2009, 8:36 am

    You are great man, your article helped when i needed it the most !

    现在多数民众赞成在帮助…

    cool.. keep it up…

    do write more articles. love’em… !!!

  • 匿名 July 23, 2012, 8:35 pm

    谢谢,太好了

  • 匿名 May 28, 2013, 2:03 pm

    可能值得注意–pcap文件的默认输出似乎是文件类型:Wireshark–pcapng。这与我使用的输入文件不同–文件类型为:Wireshark / tcpdump /… –libpcap。我不得不在添加开关的情况下重新运行编辑文件‘-F libpcap’为了使其输出相同的格式。 (我正在将它们喂入船cap,船没有’就像pcapng格式)。作为附带说明,我正在使用capinfos.exe(与WireShark以及editcap捆绑在一起)测试文件格式。

发表评论