Dies ist der Befehl editcap, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
editcap – Bearbeiten und/oder übersetzen Sie das Format von Capture-Dateien
ZUSAMMENFASSUNG
editcap [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [Versatz:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] im Ordner Outfile [ Paket#[-Paket#] ... ]
editcap -d | -D | -w [ -v ] [ -I ]
im Ordner Outfile
editcap [ -V ]
BESCHREIBUNG
Editcap ist ein Programm, das einige oder alle erfassten Pakete ausliest im Ordner,
wandelt sie optional auf verschiedene Arten um und schreibt die resultierenden Pakete in die Erfassung
Outfile (oder Outfiles).
Standardmäßig liest es alle Pakete von im Ordner und schreibt sie an die Outfile in pcap
Datei Format.
Am Ende des Befehls kann eine optionale Liste von Paketnummern angegeben werden. Einzelpaket
Durch Leerzeichen getrennte Nummern und/oder Bereiche von Paketnummern können als angegeben werden
Anfang-Ende, bezogen auf alle Pakete von Anfang zu Ende. Standardmäßig die ausgewählten Pakete
mit diesen Zahlen wird nicht in die Capture-Datei geschrieben werden. Wenn die -r Flag ist angegeben,
die gesamte Paketauswahl wird umgekehrt; In diesem Fall einzige Die ausgewählten Pakete werden angezeigt
in die Capture-Datei geschrieben.
Editcap kann auch zum Entfernen doppelter Pakete verwendet werden. Mehrere verschiedene Optionen (-d, -D
und -w) werden verwendet, um das zu verwendende Paketfenster oder relative Zeitfenster zu steuern
Doppelter Vergleich.
Editcap kann verwendet werden, um Bildnummern Kommentarzeichenfolgen zuzuweisen.
Editcap ist in der Lage, dieselben Capture-Dateien zu erkennen, zu lesen und zu schreiben, die von . unterstützt werden
Wireshark. Die Eingabedatei benötigt keine bestimmte Dateinamenerweiterung; das Dateiformat und
Eine optionale GZIP-Komprimierung wird automatisch erkannt. Nahe dem Anfang des
BESCHREIBUNG Abschnitt von wireshark(1) oder
ist eine detaillierte Beschreibung der
Weg, Wireshark handhabt das auf die gleiche Weise Editcap handhabt dies.
Editcap kann die Datei in mehreren Ausgabeformaten schreiben. Der -F Flag kann zur Angabe verwendet werden
das Format, in dem die Capture-Datei geschrieben werden soll; editcap -F bietet eine Liste der verfügbaren
Ausgabeformate.
OPTIONAL
-A
Weisen Sie der angegebenen Bildnummer die angegebene Kommentarzeichenfolge zu. Kann wiederholt werden
mehrere Frames. Anführungszeichen sollten mit Kommentarzeichenfolgen verwendet werden, die Leerzeichen enthalten.
-A
Speichert nur die Pakete, deren Zeitstempel am oder nach der Startzeit liegt. Die Zeit ist gegeben
im folgenden Format JJJJ-MM-TT HH:MM:SS
-B
Speichert nur die Pakete, deren Zeitstempel vor der Stoppzeit liegt. Die Uhrzeit ist im angegeben
folgendes Format: JJJJ-MM-TT HH:MM:SS
-C
Teilt die Paketausgabe auf verschiedene Dateien auf, basierend auf einer einheitlichen Paketanzahl mit a
maximal jede. Jede Ausgabedatei wird mit einem Suffix erstellt
-nnnnn, beginnend mit 00000. Wenn die angegebene Anzahl von Paketen in die geschrieben wird
Ausgabedatei wird die nächste Ausgabedatei geöffnet. Standardmäßig wird eine einzelne Ausgabe verwendet
Datei.
-C [Offset:]
Legt die Chop-Länge fest, die beim Schreiben der Paketdaten verwendet werden soll. Jedes Paket wird zerkleinert
Bytes an Daten. Positive Werte hacken am Paketanfang, negative Werte dagegen
Werte zerhacken am Paketende.
Wenn ein optionaler Offset vor dem steht , dann werden die gehackten Bytes versetzt
von diesem Wert. Positive Offsets beziehen sich auf den Paketanfang, negative
Offsets stammen vom Paketende.
Dies ist nützlich, um Header zu zerhacken, um eine gesamte Erfassung zu entkapseln und zu entfernen
Tunneling-Header oder im seltenen Fall die Konvertierung zwischen zwei Dateiformaten
hinterlässt am Ende jedes Pakets einige zufällige Bytes. Eine andere Verwendung ist das Entfernen von VLAN
Stichworte.
HINWEIS: Diese Option kann mehr als einmal verwendet werden, sodass Sie effektiv Bytes zerhacken können
aus bis zu zwei verschiedenen Bereichen eines Pakets in einem einzigen Durchgang, sofern Sie dies angeben
mindestens eine Häcksellänge als positiver Wert und mindestens eine als negativer Wert.
Alle positiven Schnittlängen werden addiert, ebenso alle negativen Schnittlängen.
-d Versucht, doppelte Pakete zu entfernen. Die Länge und der MD5-Hash des aktuellen Pakets
werden mit den vorherigen vier (4) Paketen verglichen. Wenn eine Übereinstimmung gefunden wird, wird die aktuelle
Paket wird übersprungen. Diese Option entspricht der Verwendung der Option -D 5.
-D
Versucht, doppelte Pakete zu entfernen. Die Länge und der MD5-Hash des aktuellen Pakets
werden mit den vorherigen verglichen - 1 Pakete. Wenn eine Übereinstimmung gefunden wird, wird die
Das aktuelle Paket wird übersprungen.
Die Verwendung der Option -D 0 Verbindung mit der -v Die Option ist insofern nützlich, als jedes Paket
Paketnummer, Len und MD5-Hash werden standardmäßig ausgegeben. Diese ausführliche Ausgabe
(insbesondere die MD5-Hash-Strings) können in Skripten nützlich sein, um Duplikate zu identifizieren
Pakete über Trace-Dateien hinweg.
Der wird als ganzzahliger Wert zwischen 0 und 1000000 (einschließlich) angegeben.
HINWEIS: Groß angeben Werte mit großen Tracedateien können zu sehr großen Abweichungen führen
lange Bearbeitungszeiten für editcap.
-E
Legt die Wahrscheinlichkeit fest, dass Bytes in der Ausgabedatei zufällig geändert werden. Editcap verwendet
diese Wahrscheinlichkeit (zwischen 0.0 und 1.0 einschließlich), Fehler auf jedes Datenbyte anzuwenden
die Datei. Beispielsweise bedeutet eine Wahrscheinlichkeit von 0.02, dass jedes Byte eine Wahrscheinlichkeit von 2 % hat
einen Fehler haben.
Diese Option soll zum Fuzz-Testen von Protokolldissektoren verwendet werden.
-F
Legt das Dateiformat der Ausgabe-Capture-Datei fest. Editcap kann die Datei hineinschreiben
mehrere Formate, editcap -F stellt eine Liste der verfügbaren Ausgabeformate bereit. Der
Standard ist die ppc Format.
-h Gibt die Version und Optionen aus und wird beendet.
-ich
Teilt die Paketausgabe mithilfe von a auf verschiedene Dateien auf, basierend auf einheitlichen Zeitintervallen
maximales Intervall von jede. Jede Ausgabedatei wird mit a erstellt
Suffix -nnnnn, beginnend mit 00000. Wenn Pakete für das angegebene Zeitintervall vorliegen
in die Ausgabedatei geschrieben, wird die nächste Ausgabedatei geöffnet. Standardmäßig wird a verwendet
einzelne Ausgabedatei.
-ICH
Ignorieren Sie die angegebene Bytezahl am Anfang des Frames während des MD5-Hashs
Berechnung Nützlich, um doppelte Pakete zu entfernen, die auf mehreren Routern (verschiedene) empfangen wurden
Mac-Adressen zum Beispiel) zB -I 26 im Fall von Ether/IP/ wird ignoriert Äther(14) und
IP-Header (20 - 4(src ip) - 4(dst ip)). Der Standardwert ist 0.
-L Passen Sie die ursprüngliche Rahmenlänge beim Zerschneiden und/oder Einrasten entsprechend an
Zusätzlich zur erfassten Länge, die unabhängig davon immer angepasst wird -L is
angegeben ist oder nicht). Siehe auch -C <choplen> und -s <snaplen>.
-Ö
Bei Verwendung in Verbindung mit -E werden einige Bytes vom Anfang des Pakets übersprungen
verändert wird. Auf diese Weise werden einige Header nicht verändert und der Fuzzer ist größer
konzentrierte sich auf einen kleineren Teil des Pakets. Ein Teil des Pakets bleibt unverändert
Dissektor wird ausgelöst, was das Fuzzing präziser macht.
-r Kehrt die Paketauswahl um. Verursacht die Pakete, deren Paketnummern angegeben sind
in der Befehlszeile, um sie in die Ausgabe-Capture-Datei zu schreiben, anstatt sie zu verwerfen
Them.
-S
Legt die Snapshot-Länge fest, die beim Schreiben der Daten verwendet werden soll. Wenn die -s Flagge wird verwendet, um
Geben Sie eine Snapshot-Länge an, Pakete in der Eingabedatei mit mehr erfassten Daten als die
Die angegebene Snapshot-Länge enthält nur die im Snapshot angegebene Datenmenge
Länge, die in die Ausgabedatei geschrieben wird.
Dies kann nützlich sein, wenn das Programm, das die Ausgabedatei lesen soll, nicht damit umgehen kann
Pakete, die größer als eine bestimmte Größe sind (zum Beispiel die Versionen von Snoop in Solaris
2.5.1 und Solaris 2.6 scheinen Ethernet-Pakete abzulehnen, die größer als der Standard sind
Ethernet-MTU, wodurch sie nicht in der Lage sind, Gigabit-Ethernet-Erfassungen im Jumbo-Format zu verarbeiten
Pakete verwendet wurden).
-S
Passen Sie die Zeit für ausgewählte Pakete an, um eine strenge chronologische Reihenfolge sicherzustellen.
Der Der Wert stellt die relativen Sekunden dar, die als angegeben sind
[-]Sekunden[.fraktional Sekunden].
Während die Capture-Datei verarbeitet wird, beträgt die absolute Zeit jedes Pakets gegebenenfalls eingestellt,
je nachdem gleich oder größer als der absolute Zeitstempel des vorherigen Pakets sein
Wert.
Wenn Der Wert ist dann 0 oder größer (z. B. 0.000001). einzige Pakete
mit einem kürzeren Zeitstempel als das vorherige Paket wird angepasst. Der angepasste Zeitstempel
Der Wert wird auf den Zeitstempelwert des vorherigen Pakets plus gesetzt
Wert der Wert. A Wert von 0
passt die Mindestanzahl an Zeitstempelwerten an, die erforderlich sind, um sicherzustellen, dass die
Die resultierende Capture-Datei ist in streng chronologischer Reihenfolge.
Wenn Wenn der Wert als negativer Wert angegeben wird, dann der Zeitstempel
Werte von alle Pakete werden so angepasst, dass sie dem Zeitstempelwert des Pakets entsprechen
vorheriges Paket plus der absolute Wert des strenge Zeitanpassung Wert. A
Der Wert -0 führt dazu, dass alle Pakete den Zeitstempel haben
Wert des ersten Pakets.
Diese Funktion ist nützlich, wenn die Trace-Datei gelegentlich ein Paket mit einem Negativ enthält
Deltazeit relativ zum vorherigen Paket.
-T
Legt die Zeitanpassung fest, die für ausgewählte Pakete verwendet werden soll. Wenn die -t Flagge wird verwendet, um
Geben Sie eine Zeitanpassung an. Die angegebene Anpassung wird auf alle ausgewählten angewendet
Pakete in der Capture-Datei. Die Anpassung wird als [-] angegeben.Sekunden[.fraktional
Sekunden]. Zum Beispiel, -t 3600 erhöht den Zeitstempel ausgewählter Pakete um eine Stunde
während -t -0.5 reduziert den Zeitstempel ausgewählter Pakete um eine halbe Sekunde.
Diese Funktion ist nützlich, wenn Sie Dumps synchronisieren, die auf verschiedenen Computern gesammelt wurden
der Zeitunterschied zwischen den beiden Maschinen ist bekannt oder kann abgeschätzt werden.
-T
Legt den Paketkapselungstyp der Ausgabe-Capture-Datei fest. Wenn die -T Flagge verwendet wird
um einen Kapselungstyp anzugeben, den Kapselungstyp der Ausgabe-Capture-Datei
wird auf den angegebenen Typ gezwungen. editcap -T bietet eine Liste der verfügbaren
Typen. Der Standardtyp ist derjenige, der dem Kapselungstyp der Eingabe entspricht
Capture-Datei.
Hinweis: Dies erzwingt lediglich, dass der Kapselungstyp der Ausgabedatei der angegebene ist
Typ; Die Paketheader der Pakete werden nicht aus der Kapselung übersetzt
Typ der Eingabe-Capture-Datei in den angegebenen Kapselungstyp (z. B. it
übersetzt eine Ethernet-Erfassung nicht in eine FDDI-Erfassung, wenn eine Ethernet-Erfassung vorhanden ist
lesen und '-T fddi' angegeben). Wenn Sie Header von/zu einem Paket entfernen/hinzufügen müssen,
du wirst brauchen od(1) /text2pcap(1).
-v Ursachen editcap um ausführliche Nachrichten zu drucken, während es funktioniert.
Gebrauch von -v mit den Deduplizierungsschaltern von -d, -D or -w verursacht alle MD5-Hashes
wird gedruckt, unabhängig davon, ob das Paket übersprungen wird oder nicht.
-V Version drucken und beenden.
-w
Versucht, doppelte Pakete zu entfernen. Die Ankunftszeit des aktuellen Pakets wird verglichen
mit bis zu 1000000 vorherigen Paketen. Wenn die relative Ankunftszeit des Pakets ist weniger
als or gleich zu Die eines vorherigen Pakets und der Paketlänge und
Der MD5-Hash des aktuellen Pakets ist derselbe wie der des zu überspringenden Pakets. Das Duplikat
Der Vergleichstest stoppt, wenn die relative Ankunftszeit des aktuellen Pakets größer ist als
.
Der ist angegeben als Sekunden[.fraktional Sekunden].
Die Komponente [.Bruchsekunden] kann mit neun (9) Dezimalstellen angegeben werden
(Milliardstel Sekunden), aber die meisten typischen Trace-Dateien haben eine Auflösung von sechs (6)
Dezimalstellen (Millionstelsekunden).
HINWEIS: Groß angeben Werte mit großen Tracedateien können dazu führen
sehr lange Bearbeitungszeiten für editcap.
Beachten Sie das -w Bei dieser Option wird davon ausgegangen, dass die Pakete in chronologischer Reihenfolge vorliegen. Wenn die
Pakete sind dann NICHT in chronologischer Reihenfolge -w Die Option zum Entfernen von Duplikaten ist möglicherweise nicht verfügbar
Identifizieren Sie einige Duplikate.
Beispiele:
Um eine detailliertere Beschreibung der Optionen anzuzeigen, verwenden Sie:
editcap -h
Um die Capture-Datei zu verkleinern, indem die Pakete auf 64 Bytes gekürzt und als Sun geschrieben werden
Verwendung der Snoop-Datei:
editcap -s 64 -F snoop capture.pcap shortcapture.snoop
Um Paket 1000 aus der Capture-Datei zu löschen, verwenden Sie:
editcap capture.pcap sans1000.pcap 1000
Um eine Capture-Datei auf Pakete von 200 bis 750 (einschließlich) zu beschränken, verwenden Sie:
editcap -r capture.pcap small.pcap 200-750
Um alle Pakete von Nummer 1-500 (einschließlich) zu erhalten, verwenden Sie:
editcap -r capture.pcap first500.pcap 1-500
or
editcap capture.pcap first500.pcap 501-9999999
Um die Pakete 1, 5, 10 bis 20 und 30 bis 40 aus der neuen Datei auszuschließen, verwenden Sie:
editcap Capture.pcapexclude.pcap 1 5 10-20 30-40
Um nur die Pakete 1, 5, 10 bis 20 und 30 bis 40 für die neue Datei auszuwählen, verwenden Sie Folgendes:
editcap -r capture.pcap select.pcap 1 5 10-20 30-40
Um doppelte Pakete zu entfernen, die in den vorherigen vier Frames gesehen wurden, verwenden Sie Folgendes:
editcap -d capture.pcap dedup.pcap
Um doppelte Pakete zu entfernen, die in den letzten 100 Frames gesehen wurden, verwenden Sie Folgendes:
editcap -D 101 capture.pcap dedup.pcap
Um doppelte Pakete zu entfernen gleich zu or weniger als 1/10 Sekunde:
editcap -w 0.1 capture.pcap dedup.pcap
Um den MD5-Hash für alle Pakete anzuzeigen (und KEINE echte Ausgabedatei zu generieren):
editcap -v -D 0 capture.pcap /dev/null
oder auf Windows-Systemen
editcap -v -D 0 capture.pcap NUL
So erhöhen Sie die Zeitstempel jedes Pakets um 3.0827 Sekunden:
editcap -t 3.0827 Capture.pcap angepasst.pcap
Um sicherzustellen, dass alle Zeitstempel in strikter chronologischer Reihenfolge sind:
editcap -S 0 Capture.pcap angepasst.pcap
Um 5 % zufällige Fehler in eine Capture-Datei einzuführen, verwenden Sie Folgendes:
editcap -E 0.05 Capture.pcap Capture_error.pcap
Um VLAN-Tags aus allen Paketen in einer Ethernet-gekapselten Capture-Datei zu entfernen, verwenden Sie:
editcap -L -C 12:4 Capture_vlan.pcap Capture_no_vlan.pcap
Um sowohl die 10-Byte- als auch die 20-Byte-Region aus dem folgenden 75-Byte-Paket in einem einzigen zu zerschneiden
Bestehen Sie, verwenden Sie eine der 8 unten aufgeführten möglichen Methoden:
<------------- 75 --------------------- ------->
+---+-------+-----------+---------------+--------- ----------+
| 5 | 10 | 15 | 20 | 25 |
+---+-------+-----------+---------------+--------- ----------+
1) editcap -C 5:10 -C -25:-20 capture.pcap gehackt.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcap gehackt.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcap gehackt.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcap gehackt.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcap gehackt.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcap gehackt.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcap gehackt.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcap gehackt.pcap
Um Kommentarzeichenfolgen zu den ersten beiden Eingaberahmen hinzuzufügen, verwenden Sie:
editcap -a "1:1st Frame" -a 2:Second Capture.pcap Capture-Comments.pcap
Verwenden Sie Editcap online über die Dienste von onworks.net
