این دستور editcap است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
editcap - فرمت فایل های ضبط را ویرایش و/یا ترجمه کنید
خلاصه
editcap [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [انحراف:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] پرونده مجموعه [ بسته#[-بسته#] ... ]
editcap -d | -D | -w [ -v ] [ -I ]
پرونده مجموعه
editcap [ -V ]
شرح
Editcap برنامه ای است که برخی یا همه بسته های ضبط شده را می خواند پرونده,
به صورت اختیاری آنها را به روش های مختلف تبدیل می کند و بسته های به دست آمده را در capture می نویسد
مجموعه (یا outfiles).
به طور پیش فرض، تمام بسته ها را از روی می خواند پرونده و آنها را به مجموعه در pcap
فرمت فایل.
یک لیست اختیاری از شماره های بسته را می توان در دم فرمان مشخص کرد. بسته انفرادی
اعداد جدا شده با فضای خالی و/یا محدوده اعداد بسته را می توان به صورت مشخص کرد
شروع-پایان، با اشاره به تمام بسته های از شروع به پایان. به طور پیش فرض بسته های انتخاب شده
با آن اعداد خواهد شد نه در فایل کپچر نوشته شود. اگر -r پرچم مشخص شده است،
کل انتخاب بسته معکوس می شود. در این مورد فقط بسته های انتخاب شده خواهد بود
در فایل کپچر نوشته شده است.
Editcap همچنین می تواند برای حذف بسته های تکراری استفاده شود. چندین گزینه مختلف (-d, -D
و -w) برای کنترل پنجره بسته یا پنجره زمانی نسبی مورد استفاده قرار می گیرند
مقایسه تکراری
Editcap می توان از آن برای اختصاص رشته های نظر به اعداد قاب استفاده کرد.
Editcap قادر به شناسایی، خواندن و نوشتن همان فایل های ضبطی است که توسط آنها پشتیبانی می شود
Wireshark. فایل ورودی به پسوند نام فایل خاصی نیاز ندارد. فرمت فایل و
فشرده سازی اختیاری gzip به طور خودکار شناسایی می شود. نزدیک به ابتدای
بخش DESCRIPTION از wireshark(1) یا
شرح مفصلی از
راه Wireshark این کار را انجام می دهد که به همین ترتیب است Editcap این را اداره می کند
Editcap می تواند فایل را در چندین فرمت خروجی بنویسد. در -F پرچم را می توان برای تعیین استفاده کرد
فرمت نوشتن فایل ضبط editcap -F لیستی از موارد موجود را ارائه می دهد
فرمت های خروجی
OPTIONS
-آ
برای شماره فریم مشخص، رشته نظر داده شده را اختصاص دهید. قابل تکرار برای
فریم های متعدد نقل قول ها باید با رشته های نظر که شامل فاصله هستند استفاده شوند.
-آ
فقط بسته هایی را ذخیره می کند که مهر زمانی آنها در زمان شروع یا بعد از آن است. زمان داده شده است
در قالب زیر YYYY-MM-DD HH:MM:SS
-ب
فقط بسته هایی را ذخیره می کند که مهر زمانی آنها قبل از زمان توقف است. زمان در داده شده است
فرمت زیر YYYY-MM-DD HH:MM:SS
-ج
خروجی بسته را بر اساس تعداد بسته های یکنواخت با a به فایل های مختلف تقسیم می کند
حداکثر از هر یک. هر فایل خروجی با یک پسوند ایجاد می شود
-nnnnn، با 00000 شروع می شود. اگر تعداد بسته های مشخص شده در
فایل خروجی، فایل خروجی بعدی باز می شود. پیش فرض استفاده از یک خروجی است
فایل.
-C [offset:]
طول برش را برای استفاده هنگام نوشتن داده های بسته تنظیم می کند. هر بسته توسط خرد شده است
بایت داده مقادیر مثبت در ابتدای بسته در حالی که منفی است، قطع می شود
مقادیر chop در انتهای بسته.
اگر یک افست اختیاری قبل از ، سپس بایت های خرد شده آفست می شوند
از آن ارزش افست های مثبت از ابتدای بسته هستند، در حالی که منفی هستند
افست ها از انتهای بسته هستند.
این برای برش دادن هدرها برای کپسوله کردن کل عکس، حذف مفید است
هدرهای تونل سازی یا در موارد نادری که تبدیل بین دو فرمت فایل است
تعدادی بایت تصادفی در انتهای هر بسته باقی می گذارد. کاربرد دیگر حذف vlan است
برچسب ها
توجه: این گزینه را می توان بیش از یک بار استفاده کرد و به طور موثر به شما امکان می دهد بایت ها را خرد کنید
از حداکثر دو ناحیه مختلف از یک بسته در یک پاس منفرد به شرطی که شما مشخص کنید
حداقل یک طول خرد کردن به عنوان مقدار مثبت و حداقل یک به عنوان مقدار منفی.
تمام طول های خرد کردن مثبت با هم جمع می شوند و تمام طول های خرد کردن منفی با هم جمع می شوند.
-d تلاش برای حذف بسته های تکراری. طول و هش MD5 بسته فعلی
با چهار (4) بسته قبلی مقایسه می شوند. اگر مطابقتی پیدا شد، جریان فعلی
بسته حذف شده است این گزینه معادل استفاده از گزینه است -D 5.
-دی
تلاش برای حذف بسته های تکراری. طول و هش MD5 بسته فعلی
با قبلی مقایسه می شوند - 1 بسته اگر یک مسابقه پیدا شد،
بسته فعلی نادیده گرفته شده است.
استفاده از گزینه -D 0 همراه با -v گزینه از این نظر مفید است که هر بسته
شماره بسته، Len و MD5 Hash به صورت استاندارد چاپ خواهند شد. این خروجی پرمخاطب
(مخصوصاً رشته های هش MD5) می تواند در اسکریپت ها برای شناسایی موارد تکراری مفید باشد
بسته های موجود در فایل های ردیابی
در به عنوان یک مقدار صحیح بین 0 و 1000000 (شامل) مشخص می شود.
توجه: مشخص کردن بزرگ مقادیر با فایل های ردیابی بزرگ می تواند منجر به بسیار شود
زمان پردازش طولانی برای editcap.
-ای
احتمال تغییر تصادفی بایت های فایل خروجی را تعیین می کند. Editcap استفاده
این احتمال (بین 0.0 و 1.0 شامل) برای اعمال خطا برای هر بایت داده در
پرونده. به عنوان مثال، احتمال 0.02 به این معنی است که هر بایت 2٪ شانس دارد
داشتن یک خطا
این گزینه برای کالبد شکافی های پروتکل تست فازی استفاده می شود.
-اف
فرمت فایل فایل ضبط خروجی را تنظیم می کند. Editcap می تواند فایل را در آن بنویسد
چندین فرمت، editcap -F لیستی از فرمت های خروجی موجود را ارائه می دهد. در
پیش فرض است pcap فرمت.
-h نسخه و گزینه ها را چاپ می کند و خارج می شود.
-من
با استفاده از a، خروجی بسته را بر اساس فواصل زمانی یکسان به فایل های مختلف تقسیم می کند
حداکثر فاصله زمانی هر یک. هر فایل خروجی با یک ایجاد می شود
پسوند -nnnnn که با 00000 شروع می شود. اگر بسته های بازه زمانی مشخص شده باشند
روی فایل خروجی نوشته می شود، فایل خروجی بعدی باز می شود. پیش فرض استفاده از a است
فایل خروجی تک
-من
در طول هش MD5، تعداد بایت های مشخص شده در ابتدای فریم را نادیده بگیرید
محاسبه مفید برای حذف بسته های تکراری گرفته شده در چندین روتر (متفاوت
برای مثال آدرس های مک) به عنوان مثال -I 26 در صورت وجود Ether/IP/ نادیده گرفته می شود اتر(14) و
هدر IP (20 - 4 (src ip) - 4 (dst ip)). مقدار پیش فرض 0 است.
-L طول قاب اصلی را هنگام خرد کردن و/یا چفت کردن (در
علاوه بر طول ضبط شده، که همیشه بدون توجه به اینکه آیا تنظیم می شود -L is
مشخص شده یا نه). همچنین ببینید -C <چاپلن> و -s <snaplen>.
-o
هنگامی که همراه با -E استفاده می شود، از ابتدای بسته از تعدادی بایت صرف نظر کنید
در حال تغییر به این ترتیب برخی از هدرها تغییر نمی کنند و fuzzer بیشتر است
بر روی بخش کوچکتری از بسته متمرکز شده است. ثابت نگه داشتن بخشی از بسته به همان صورت
کالبد شکافی فعال می شود، که باعث می شود فاز دقیق تر شود.
-r انتخاب بسته را معکوس کنید. باعث می شود بسته هایی که شماره بسته های آنها مشخص شده باشد
در خط فرمان به جای دور انداختن، در فایل ضبط خروجی نوشته شود
آنها.
-s
طول عکس فوری را برای استفاده هنگام نوشتن داده تنظیم می کند. اگر -s پرچم استفاده می شود
طول یک عکس فوری، بسته هایی را در فایل ورودی با داده های گرفته شده بیشتر از مقدار مشخص کنید
طول مشخص شده عکس فوری فقط مقدار داده مشخص شده توسط عکس فوری را خواهد داشت
طول نوشته شده در فایل خروجی
این ممکن است مفید باشد اگر برنامه ای که قرار است فایل خروجی را بخواند نتواند کار کند
بسته های بزرگتر از اندازه معین (به عنوان مثال، نسخه های snoop در Solaris
به نظر می رسد 2.5.1 و Solaris 2.6 بسته های اترنت بزرگتر از استاندارد را رد می کنند.
Ethernet MTU، آنها را قادر به مدیریت عکس های اترنت گیگابیتی در صورت جمجمه نمی کند
بسته ها استفاده شد).
-س
بستههای انتخابی را برای اطمینان از ترتیب زمانی دقیق تنظیم کنید.
در مقدار نشان دهنده ثانیه های نسبی است که به صورت مشخص شده اند
[-]ثانیه[.کسری ثانیه].
همانطور که فایل ضبط پردازش می شود زمان مطلق هر بسته است احتمالا تنظیم برای
برابر یا بزرگتر از مهر زمانی مطلق بسته قبلی بسته به
ارزش.
اگر مقدار 0 یا بیشتر است (مثلاً 0.000001). فقط بسته
با مهر زمانی کمتر از بسته قبلی تنظیم می شود. مهر زمانی تنظیم شده
مقدار برابر با مقدار مهر زمانی بسته قبلی به اضافه مقدار تنظیم می شود
ارزش از ارزش. آ مقدار 0
حداقل تعداد مقادیر مُهر زمانی لازم را برای اطمینان از اینکه
فایل ضبط در نتیجه به ترتیب زمانی دقیق است.
اگر مقدار به عنوان یک مقدار منفی و سپس مهر زمانی مشخص می شود
ارزش های تمام بستهها به گونهای تنظیم میشوند که با مقدار مهر زمانی برابر باشد
بسته قبلی به اضافه مقدار مطلق تنظیم دقیق زمان ارزش. آ
مقدار -0 باعث می شود که تمام بسته ها دارای مهر زمانی باشند
ارزش بسته اول
این ویژگی زمانی مفید است که فایل ردیابی دارای یک بسته گاه به گاه با نگاتیو باشد
زمان دلتا نسبت به بسته قبلی
-t
تنظیم زمان را برای استفاده در بسته های انتخاب شده تنظیم می کند. اگر -t پرچم استفاده می شود
تنظیم زمان را مشخص کنید، تنظیم مشخص شده برای همه انتخاب شده اعمال خواهد شد
بسته های موجود در فایل کپچر تنظیم به صورت [-] مشخص شده استثانیه[.کسری
ثانیه]. مثلا، -t 3600 مهر زمانی روی بسته های انتخابی را یک ساعت افزایش می دهد
در حین -t -0.5 مهر زمانی روی بسته های انتخابی را تا نیم ثانیه کاهش می دهد.
این ویژگی هنگام همگام سازی زباله های جمع آوری شده در ماشین های مختلف مفید است
تفاوت زمانی بین دو ماشین مشخص است یا قابل تخمین است.
-تی
نوع کپسوله کردن بسته فایل ضبط خروجی را تنظیم می کند. اگر -T پرچم استفاده می شود
برای تعیین یک نوع کپسوله سازی، نوع کپسوله سازی فایل ضبط خروجی
به نوع مشخص شده اجباری خواهد شد. editcap -T لیستی از موارد موجود را ارائه می دهد
انواع نوع پیشفرض، مناسب با نوع کپسولهسازی ورودی است
فایل ضبط
توجه: این فقط باعث می شود که نوع کپسوله سازی فایل خروجی مشخص شود
نوع؛ سرصفحه های بسته بسته ها از کپسوله سازی ترجمه نمی شوند
نوع فایل ضبط ورودی به نوع کپسوله سازی مشخص شده (به عنوان مثال، آن
در صورتی که ضبط اترنت باشد، یک ضبط اترنت را به یک ضبط FDDI ترجمه نمی کند
بخوان و '-T fddi' مشخص شده است). اگر نیاز به حذف/افزودن هدرها از/به یک بسته دارید،
شما نیاز خواهید داشت od(1) /text2pcap(1).
-v علل editcap برای چاپ پیام های پرمخاطب در حالی که کار می کند.
استفاده از -v با سوئیچ های حذف مجدد از -d, -D or -w همه هش های MD5 را ایجاد می کند
چاپ شود، چه بسته رد شده باشد یا نه.
-V نسخه را پرینت بگیرید و خارج شوید.
-w
تلاش برای حذف بسته های تکراری. زمان رسیدن بسته فعلی مقایسه می شود
با حداکثر 1000000 بسته قبلی. اگر زمان رسیدن نسبی بسته باشد کمتر
نسبت به or برابر به را از یک بسته قبلی و طول بسته و
هش MD5 بسته فعلی همان بسته ای است که باید از آن گذشت. تکراری
تست مقایسه زمانی متوقف می شود که زمان رسیدن نسبی بسته فعلی بیشتر از
.
را به عنوان مشخص شده است ثانیه[.کسری ثانیه].
جزء [.کسری ثانیه] را می توان تا نه (9) رقم اعشار مشخص کرد
(میلیاردم ثانیه) اما اکثر فایل های ردیابی معمولی دارای وضوح شش (6) هستند.
ارقام اعشاری (میلیونم ثانیه).
توجه: مشخص کردن بزرگ مقادیر با فایل های ردیابی بزرگ می تواند منجر شود
زمان پردازش بسیار طولانی برای editcap.
توجه داشته باشید که -w گزینه فرض می کند که بسته ها به ترتیب زمانی هستند. اگر
پس از آن بسته ها به ترتیب زمانی نیستند -w گزینه حذف تکراری ممکن است نباشد
برخی موارد تکراری را شناسایی کنید
مثال ها
برای مشاهده توضیحات دقیق تر گزینه ها از:
editcap -h
برای کوچک کردن فایل ضبط با کوتاه کردن بسته ها در 64 بایت و نوشتن آن به عنوان Sun
استفاده از فایل snoop:
editcap -s 64 -F snoop capture.pcap shortcapture.snoop
برای حذف بسته 1000 از فایل ضبط از:
editcap capture.pcap sans1000.pcap 1000
برای محدود کردن یک فایل ضبط به بسته هایی از شماره 200 تا 750 (شامل) از:
editcap -r capture.pcap small.pcap 200-750
برای دریافت همه بسته ها از شماره 1-500 (شامل) استفاده کنید:
editcap -r capture.pcap first500.pcap 1-500
or
editcap capture.pcap first500.pcap 501-9999999
برای حذف بسته های 1، 5، 10 تا 20 و 30 تا 40 از فایل جدید استفاده کنید:
editcap capture.pcap exclude.pcap 1 5 10-20 30-40
برای انتخاب فقط بسته های 1، 5، 10 تا 20 و 30 تا 40 برای فایل جدید استفاده کنید:
editcap -r capture.pcap select.pcap 1 5 10-20 30-40
برای حذف بسته های تکراری که در چهار فریم قبلی دیده می شوند، از موارد زیر استفاده کنید:
editcap -d capture.pcap dedup.pcap
برای حذف بسته های تکراری که در 100 فریم قبلی دیده می شوند، از موارد زیر استفاده کنید:
editcap -D 101 capture.pcap dedup.pcap
برای حذف بسته های تکراری دیده شده برابر به or کمتر نسبت به 1/10 ثانیه:
editcap -w 0.1 capture.pcap dedup.pcap
برای نمایش هش MD5 برای همه بسته ها (و عدم تولید هیچ فایل خروجی واقعی):
editcap -v -D 0 capture.pcap /dev/null
یا در سیستم های ویندوز
editcap -v -D 0 capture.pcap NUL
برای پیشبرد مُهرهای زمانی هر بسته 3.0827 ثانیه به جلو:
editcap -t 3.0827 capture.pcap adjusted.pcap
برای اطمینان از اینکه تمام مهرهای زمانی به ترتیب زمانی دقیق هستند:
editcap -S 0 capture.pcap adjusted.pcap
برای معرفی 5% خطاهای تصادفی در یک فایل کپچر از:
editcap -E 0.05 capture.pcap capture_error.pcap
برای حذف تگهای vlan از تمام بستههای موجود در یک فایل کپسولهشده با اترنت، از موارد زیر استفاده کنید:
editcap -L -C 12:4 capture_vlan.pcap capture_no_vlan.pcap
برای بریدن هر دو منطقه 10 بایتی و 20 بایتی از بسته 75 بایتی زیر در یک واحد
عبور کنید، از هر یک از 8 روش ممکن ارائه شده در زیر استفاده کنید:
<--------------------------- 75 --------------------- ------->
+-----------+----------------------------------- ----------+
| 5 | 10 | 15 | 20 | 25 |
+-----------+----------------------------------- ----------+
1) editcap -C 5:10 -C -25:-20 capture.pcap chopped.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcap chopped.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcap chopped.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcap chopped.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcap chopped.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcap chopped.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcap chopped.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcap chopped.pcap
برای افزودن رشته نظر به 2 فریم ورودی اول، از:
editcap -a "1:1st frame" -a 2:Second capture.pcap capture-comments.pcap
با استفاده از خدمات onworks.net از editcap به صورت آنلاین استفاده کنید
