EnglischFranzösischSpanisch

Server ausführen | Ubuntu > | Fedora > |


OnWorks-Favicon

editcap - Online in der Cloud

Führen Sie editcap im kostenlosen OnWorks-Hosting-Anbieter über Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator aus

Dies ist der Befehl editcap, der im kostenlosen OnWorks-Hosting-Provider über eine unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator ausgeführt werden kann

PROGRAMM:

NAME


editcap - Bearbeiten und/oder übersetzen Sie das Format von Capture-Dateien

ZUSAMMENFASSUNG


editcap [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [Versatz:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] im Ordner Outfile [ Paket#[-Paket#] ... ]

editcap -d | -D | -w [ -v ] [ -I ]
im Ordner Outfile

editcap [ -V ]

BESCHREIBUNG


Editcap ist ein Programm, das einige oder alle der erfassten Pakete aus dem im Ordner,
wandelt sie optional auf verschiedene Weise um und schreibt die resultierenden Pakete in das Capture
Outfile (oder Outfiles).

Standardmäßig liest es alle Pakete aus dem im Ordner und schreibt sie an die Outfile in PCAP
Datei Format.

Eine optionale Liste von Paketnummern kann am Befehlsende angegeben werden; Einzelpaket
durch Leerzeichen getrennte Nummern und/oder Paketnummernbereiche können angegeben werden als
Anfang-Ende, bezieht sich auf alle Pakete von Anfang zu Ende. Standardmäßig sind die ausgewählten Pakete
mit diesen Zahlen wird nicht in die Capture-Datei geschrieben werden. Wenn die -r Flag ist angegeben,
die gesamte Paketauswahl wird umgekehrt; In diesem Fall einzige die ausgewählten Pakete werden
in die Capture-Datei geschrieben.

Editcap kann auch verwendet werden, um doppelte Pakete zu entfernen. Mehrere verschiedene Optionen (-d, -D
und -w) werden verwendet, um das zu verwendende Paketfenster oder relative Zeitfenster zu steuern
doppelter Vergleich.

Editcap kann verwendet werden, um Frame-Nummern Kommentarzeichenfolgen zuzuweisen.

Editcap ist in der Lage, dieselben Capture-Dateien zu erkennen, zu lesen und zu schreiben, die von . unterstützt werden
Wireshark. Die Eingabedatei benötigt keine bestimmte Dateinamenerweiterung; das Dateiformat und
eine optionale gzip-Komprimierung wird automatisch erkannt. Kurz vor Beginn des
BESCHREIBUNG Abschnitt von wireshark(1) oder
ist eine detaillierte Beschreibung der
Weg, Wireshark handhabt das auf die gleiche Weise Editcap handhabt dies.

Editcap kann die Datei in mehreren Ausgabeformaten schreiben. Die -F Flag kann verwendet werden, um anzugeben
das Format, in dem die Capture-Datei geschrieben werden soll; editcap -F bietet eine Liste der verfügbaren
Ausgabeformate.

OPTIONAL


-ein
Weisen Sie der angegebenen Rahmennummer die angegebene Kommentarzeichenfolge zu. Kann wiederholt werden für
mehrere Rahmen. Anführungszeichen sollten mit Kommentarzeichenfolgen verwendet werden, die Leerzeichen enthalten.

-EIN
Speichert nur die Pakete, deren Zeitstempel auf oder nach der Startzeit liegt. Die Zeit ist gegeben
im folgenden Format JJJJ-MM-TT HH:MM:SS

-B
Speichert nur die Pakete, deren Zeitstempel vor der Stoppzeit liegt. Die Zeit ist in der angegeben
folgendes Format JJJJ-MM-TT HH:MM:SS

-C
Teilt die Paketausgabe basierend auf einheitlichen Paketzahlen mit a . auf verschiedene Dateien auf
maximal jede einzelne. Jede Ausgabedatei wird mit einem Suffix erstellt
-nnnnn, beginnend mit 00000. Wenn die angegebene Anzahl von Paketen in den
Ausgabedatei wird die nächste Ausgabedatei geöffnet. Standardmäßig wird ein einzelner Ausgang verwendet
Datei.

-C [Versatz:]
Legt die beim Schreiben der Paketdaten zu verwendende Chop-Länge fest. Jedes Paket wird gehackt von
Byte Daten. Positive Werte hacken am Paketanfang ab, während negative
Werte hacken am Paketende.

Wenn ein optionaler Offset vor dem , dann werden die gehackten Bytes versetzt
von diesem Wert. Positive Offsets sind vom Paketanfang, während negative
Offsets sind vom Paketende.

Dies ist nützlich, um Header zu zerhacken, um eine gesamte Aufnahme zu entkapseln und zu entfernen
Tunneling-Header oder im seltenen Fall die Konvertierung zwischen zwei Dateiformaten
hinterlässt einige zufällige Bytes am Ende jedes Pakets. Eine andere Verwendung ist das Entfernen von vlan
Stichworte.

HINWEIS: Diese Option kann mehr als einmal verwendet werden, sodass Sie effektiv Bytes zerkleinern können
aus bis zu zwei verschiedenen Bereichen eines Pakets in einem Durchgang, sofern Sie dies angeben
mindestens eine Schnittlänge als positiver Wert und mindestens eine als negativer Wert.
Alle positiven Schnittlängen werden zusammengezählt, ebenso alle negativen Schnittlängen.

-d Versucht, doppelte Pakete zu entfernen. Die Länge und der MD5-Hash des aktuellen Pakets
werden mit den vorherigen vier (4) Paketen verglichen. Wenn eine Übereinstimmung gefunden wird, wird der aktuelle
Paket wird übersprungen. Diese Option entspricht der Verwendung der Option -D 5.

-D
Versucht, doppelte Pakete zu entfernen. Die Länge und der MD5-Hash des aktuellen Pakets
werden mit dem vorherigen verglichen - 1 Päckchen. Wenn eine Übereinstimmung gefunden wird, wird die
aktuelles Paket wird übersprungen.

Die Nutzung der Option -D 0 Verbindung mit der -v Option ist insofern nützlich, als jedes Paket
Paketnummer, Len und MD5 Hash werden standardmäßig gedruckt. Diese ausführliche Ausgabe
(insbesondere die MD5-Hash-Strings) können in Skripten nützlich sein, um Duplikate zu identifizieren
Pakete über Trace-Dateien hinweg.

Die wird als ganzzahliger Wert zwischen 0 und 1000000 (einschließlich) angegeben.

HINWEIS: Groß angeben Werte mit großen Tracefiles können zu sehr
lange Bearbeitungszeiten für editcap.

-E
Legt die Wahrscheinlichkeit fest, dass Bytes in der Ausgabedatei zufällig geändert werden. Editcap verwendet
diese Wahrscheinlichkeit (zwischen 0.0 und einschließlich 1.0), um Fehler auf jedes Datenbyte in . anzuwenden
die Datei. Beispielsweise bedeutet eine Wahrscheinlichkeit von 0.02, dass jedes Byte eine Chance von 2% hat, dass
einen Fehler haben.

Diese Option ist für Fuzz-Tests von Protokolldissektoren gedacht.

-F
Legt das Dateiformat der Ausgabe-Capture-Datei fest. Editcap kann die Datei schreiben in
mehrere Formate, editcap -F bietet eine Liste der verfügbaren Ausgabeformate. Die
Standard ist die ppc Format.

-h Gibt die Version und die Optionen aus und wird beendet.

-ich
Teilt die Paketausgabe basierend auf einheitlichen Zeitintervallen mit a . in verschiedene Dateien auf
maximales Intervall von jede einzelne. Jede Ausgabedatei wird mit a . erstellt
Suffix -nnnnn, beginnend mit 00000. Wenn Pakete für das angegebene Zeitintervall
in die Ausgabedatei geschrieben, wird die nächste Ausgabedatei geöffnet. Die Standardeinstellung ist die Verwendung von a
einzelne Ausgabedatei.

-ICH
Ignorieren Sie die angegebene Byte-Zahl am Anfang des Frames während des MD5-Hashs
Berechnung Nützlich, um doppelte Pakete zu entfernen, die auf mehreren Routern aufgenommen wurden (unterschiedliche
Mac-Adressen zum Beispiel) zB -I 26 bei Ether/IP/ ignoriert Äther(14) und
IP-Header (20 - 4 (src ip) - 4 (dst ip)). Der Standardwert ist 0.

-L Passen Sie die Originalrahmenlänge beim Zerkleinern und/oder Schnappen entsprechend an (in
zusätzlich zur erfassten Länge, die immer angepasst wird, egal ob -L is
angegeben oder nicht). Siehe auch -C <choplen> und -s <snaplen>.


Wenn in Verbindung mit -E verwendet, überspringen Sie einige Bytes vom Anfang des Pakets von
geändert werden. Auf diese Weise werden einige Header nicht geändert und der Fuzzer ist mehr
konzentriert sich auf einen kleineren Teil des Pakets. Einen Teil des Pakets unverändert lassen
Dissektoren ausgelöst, die das Fuzzing präzisieren.

-r Kehrt die Paketauswahl um. Verursacht die Pakete, deren Paketnummern angegeben sind
auf der Befehlszeile in die Ausgabe-Capture-Datei geschrieben werden, anstatt sie zu verwerfen
Them.

-S
Legt die Snapshot-Länge fest, die beim Schreiben der Daten verwendet werden soll. Wenn die -s Flagge wird verwendet, um
Geben Sie eine Snapshot-Länge an, Pakete in der Eingabedatei mit mehr erfassten Daten als die
Die angegebene Snapshot-Länge enthält nur die vom Snapshot angegebene Datenmenge
Länge in die Ausgabedatei geschrieben.

Dies kann nützlich sein, wenn das Programm, das die Ausgabedatei lesen soll, nicht mit
Pakete, die eine bestimmte Größe überschreiten (z. B. die Versionen von snoop in Solaris
2.5.1 und Solaris 2.6 scheinen Ethernet-Pakete abzulehnen, die größer als der Standard sind
Ethernet-MTU, wodurch sie nicht in der Lage sind, Gigabit-Ethernet-Captures zu verarbeiten, wenn Jumbo
Pakete verwendet wurden).

-S
Passen Sie ausgewählte Pakete zeitlich an, um eine strenge chronologische Reihenfolge zu gewährleisten.

Die Wert stellt relative Sekunden dar, angegeben als
[-]Sekunden[.fraktional Sekunden].

Da die Capture-Datei verarbeitet wird, beträgt die absolute Zeit jedes Pakets gegebenenfalls eingestellt,
gleich oder größer als der absolute Zeitstempel des vorherigen Pakets sein, je nach
Wert.

Wenn Wert ist 0 oder größer (zB 0.000001) dann einzige Pakete
mit einem Zeitstempel kleiner als das vorherige Paket wird angepasst. Der angepasste Zeitstempel
Der Wert wird auf den Zeitstempelwert des vorherigen Pakets plus der gesetzt
Wert der Wert. EIN Wert von 0
passt die Mindestanzahl von Zeitstempelwerten an, die erforderlich ist, um sicherzustellen, dass die
resultierende Capture-Datei ist in streng chronologischer Reihenfolge.

Wenn Wert als negativer Wert angegeben wird, dann wird der Zeitstempel
Werte von Alle Pakete werden so angepasst, dass sie dem Zeitstempelwert des entsprechen
vorheriges Paket plus Absolutwert der strikte Zeitanpassung Wert. EIN
Der Wert -0 führt dazu, dass alle Pakete den Zeitstempel haben
Wert des ersten Pakets.

Diese Funktion ist nützlich, wenn die Trace-Datei gelegentlich ein Paket mit einem negativen . enthält
Deltazeit relativ zum vorherigen Paket.

-T
Legt die Zeitanpassung für ausgewählte Pakete fest. Wenn die -t Flagge wird verwendet, um
Geben Sie eine Zeitanpassung an, die angegebene Anpassung wird auf alle ausgewählten angewendet
Pakete in der Capture-Datei. Die Anpassung wird als [-] angegeben.Sekunden[.fraktional
Sekunden]. Zum Beispiel, -t 3600 erhöht den Zeitstempel ausgewählter Pakete um eine Stunde
während -t -0.5 reduziert den Zeitstempel ausgewählter Pakete um eine halbe Sekunde.

Diese Funktion ist nützlich beim Synchronisieren von Dumps, die auf verschiedenen Computern gesammelt wurden, auf denen
der Zeitunterschied zwischen den beiden Maschinen ist bekannt oder kann geschätzt werden.

-T
Legt den Paketkapselungstyp der Ausgabeerfassungsdatei fest. Wenn die -T Flagge wird verwendet
Um einen Kapselungstyp anzugeben, den Kapselungstyp der Ausgabe-Capture-Datei
wird auf den angegebenen Typ gezwungen. editcap -T bietet eine Liste der verfügbaren
Typen. Der Standardtyp entspricht dem Kapselungstyp des Eingangs
Capture-Datei.

Hinweis: Dies erzwingt lediglich, dass der Kapselungstyp der Ausgabedatei der angegebene ist
Typ; die Paketheader der Pakete werden nicht aus der Kapselung übersetzt
Typ der Eingabe-Capture-Datei in den angegebenen Kapselungstyp (z. B. it
übersetzt ein Ethernet-Capture nicht in ein FDDI-Capture, wenn ein Ethernet-Capture
lesen und '-T fddi' angegeben). Wenn Sie Header von/zu einem Paket entfernen/hinzufügen müssen,
du wirst brauchen od(1) /text2pcap(1).

-v Ursachen editcap um ausführliche Nachrichten zu drucken, während es funktioniert.

Gebrauch von -v mit den Deduplizierungsschaltern von -d, -D or -w verursacht alle MD5-Hashes
gedruckt werden, ob das Paket übersprungen wird oder nicht.

-V Version drucken und beenden.

-w
Versucht, doppelte Pakete zu entfernen. Die Ankunftszeit des aktuellen Pakets wird verglichen
mit bis zu 1000000 vorherigen Paketen. Wenn die relative Ankunftszeit des Pakets weniger
als or gleich zu das eines vorherigen Pakets und die Paketlänge und
Der MD5-Hash des aktuellen Pakets ist der gleiche wie der des zu überspringenden Pakets. Das Duplikat
Vergleichstest stoppt, wenn die relative Ankunftszeit des aktuellen Pakets größer ist als
.

Die wird angegeben als Sekunden[.fraktional Sekunden].

Die Komponente [. Sekundenbruchteile] kann mit neun (9) Dezimalstellen angegeben werden
(Milliardstel Sekunden), aber die meisten typischen Trace-Dateien haben eine Auflösung von sechs (6)
Dezimalstellen (Millionstelsekunden).

HINWEIS: Groß angeben Werte mit großen Tracefiles können zu
sehr lange Bearbeitungszeiten für editcap.

Beachten Sie das -w Option geht davon aus, dass die Pakete in chronologischer Reihenfolge vorliegen. Wenn die
Pakete sind NICHT in chronologischer Reihenfolge, dann -w Option zum Entfernen von Duplikaten möglicherweise nicht
einige Duplikate identifizieren.

Beispiele:


Um eine detailliertere Beschreibung der Optionen anzuzeigen, verwenden Sie:

editcap -h

So verkleinern Sie die Capture-Datei, indem Sie die Pakete auf 64 Byte kürzen und als Sun schreiben
snoop-Datei verwenden:

editcap -s 64 -F schnüffeln capture.pcap shortcapture.snoop

Um das Paket 1000 aus der Capture-Datei zu löschen, verwenden Sie:

editcap capture.pcap sans1000.pcap 1000

Um eine Capture-Datei auf Pakete von 200 bis 750 (einschließlich) zu beschränken, verwenden Sie:

editcap -r capture.pcap klein.pcap 200-750

Um alle Pakete von Nummer 1-500 (einschließlich) zu erhalten, verwenden Sie:

editcap -r capture.pcap first500.pcap 1-500

or

editcap capture.pcap first500.pcap 501-9999999

Um die Pakete 1, 5, 10 bis 20 und 30 bis 40 von der neuen Datei auszuschließen, verwenden Sie:

editcap capture.pcap ausschließen.pcap 1 5 10-20 30-40

Um nur die Pakete 1, 5, 10 bis 20 und 30 bis 40 für die neue Datei auszuwählen, verwenden Sie:

editcap -r capture.pcap select.pcap 1 5 10-20 30-40

Um doppelte Pakete zu entfernen, die in den vorherigen vier Frames gesehen wurden, verwenden Sie:

editcap -d capture.pcap dedup.pcap

Um doppelte Pakete zu entfernen, die in den vorherigen 100 Frames gesehen wurden, verwenden Sie:

editcap -D 101 capture.pcap dedup.pcap

So entfernen Sie doppelte Pakete, die Sie gesehen haben gleich zu or weniger als 1/10 Sekunde:

editcap -w 0.1 capture.pcap dedup.pcap

Um den MD5-Hash für alle Pakete anzuzeigen (und KEINE echte Ausgabedatei zu generieren):

editcap -v -D 0 capture.pcap /dev/null

oder auf Windows-Systemen

editcap -v -D 0 capture.pcap NUL

So stellen Sie die Zeitstempel jedes Pakets um 3.0827 Sekunden vor:

editcap -t 3.0827 capture.pcap angepasst.pcap

Um sicherzustellen, dass alle Zeitstempel in streng chronologischer Reihenfolge sind:

editcap -S 0 capture.pcap angepasst.pcap

Um 5% zufällige Fehler in eine Capture-Datei einzuführen, verwenden Sie:

editcap -E 0.05 capture.pcap capture_error.pcap

Um VLAN-Tags aus allen Paketen in einer Ethernet-gekapselten Capture-Datei zu entfernen, verwenden Sie:

editcap -L -C 12:4 capture_vlan.pcap capture_no_vlan.pcap

Um sowohl die 10-Byte- als auch die 20-Byte-Region aus dem folgenden 75-Byte-Paket in einem einzigen zu zerhacken
bestanden haben, verwenden Sie eine der folgenden 8 möglichen Methoden:

<---------------------------------------- 75 --------------------- ------->

+---+-------+-----------+----------------+-------- ----------+
| 5 | 10 | 15 | 20 | 25 |
+---+-------+-----------+----------------+-------- ----------+

1) editcap -C 5:10 -C -25:-20 capture.pcap gehackt.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcap gehackt.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcap gehackt.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcap gehackt.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcap gehackt.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcap gehackt.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcap gehackt.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcap gehackt.pcap

Um den ersten beiden Eingaberahmen Kommentarzeichenfolgen hinzuzufügen, verwenden Sie:

editcap -a "1:1. Frame" -a 2:Second capture.pcap capture-comments.pcap

Verwenden Sie editcap online mit den onworks.net-Diensten


Ad


Ad