Il s'agit de la commande editcap qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks à l'aide de l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
editcap - Modifier et/ou traduire le format des fichiers de capture
SYNOPSIS
modifiercap [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [décalage:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] dans le fichier fichier de sortie [ paquet#[-paquet#] ... ]
modifiercap -d | -D | -w [ -v ] [ -I ]
dans le fichier fichier de sortie
modifiercap [ -V ]
DESCRIPTION
Modifier la limite est un programme qui lit tout ou partie des paquets capturés à partir du dans le fichier,
les convertit éventuellement de diverses manières et écrit les paquets résultants dans la capture
fichier de sortie (ou outfiles).
Par défaut, il lit tous les paquets du dans le fichier et les écrit au fichier de sortie en pcap
format de fichier.
Une liste facultative de numéros de paquet peut être spécifiée sur la queue de commande ; paquet individuel
les nombres séparés par des espaces et/ou des plages de numéros de paquets peuvent être spécifiés comme
Commencer-fin, se référant à tous les paquets de Commencer à fin. Par défaut les paquets sélectionnés
avec ces chiffres sera ne sauraient être écrit dans le fichier de capture. Si la -r indicateur est spécifié,
toute la sélection de paquets est inversée ; dans ce cas uniquement les paquets sélectionnés seront
écrit dans le fichier de capture.
Modifier la limite peut également être utilisé pour supprimer les paquets en double. Plusieurs options différentes (-d, -D
ainsi que -w) sont utilisés pour contrôler la fenêtre de paquet ou la fenêtre de temps relative à utiliser pour
comparaison en double.
Modifier la limite peut être utilisé pour affecter des chaînes de commentaires aux numéros de trame.
Modifier la limite est capable de détecter, lire et écrire les mêmes fichiers de capture qui sont pris en charge par
Wireshark. Le fichier d'entrée n'a pas besoin d'une extension de nom de fichier spécifique ; le format de fichier et
une compression gzip facultative sera automatiquement détectée. Près du début de la
section DESCRIPTION de Wireshark(1) ou
est une description détaillée de la
manière Wireshark gère cela, ce qui est de la même manière Modifier la limite gère cela.
Modifier la limite peut écrire le fichier dans plusieurs formats de sortie. Les -F indicateur peut être utilisé pour spécifier
le format dans lequel écrire le fichier de capture ; modifiercap -F fournit une liste des
formats de sortie.
OPTIONS
-une
Pour le numéro de trame spécifié, attribuez la chaîne de commentaire donnée. Peut être répété pour
plusieurs cadres. Les guillemets doivent être utilisés avec des chaînes de commentaires qui incluent des espaces.
-UNE
Enregistre uniquement les paquets dont l'horodatage est sur ou après l'heure de début. Le temps est donné
au format suivant AAAA-MM-JJ HH:MM:SS
-B
Enregistre uniquement les paquets dont l'horodatage est antérieur à l'heure d'arrêt. L'heure est indiquée dans le
format suivant AAAA-MM-JJ HH:MM:SS
-c
Divise la sortie des paquets en différents fichiers en fonction d'un nombre de paquets uniforme avec un
maximum de chaque. Chaque fichier de sortie sera créé avec un suffixe
-nnnnn, commençant par 00000. Si le nombre de paquets spécifié est écrit dans le
fichier de sortie, le fichier de sortie suivant est ouvert. La valeur par défaut est d'utiliser une seule sortie
fichier.
-C [décalage :]
Définit la longueur de coupe à utiliser lors de l'écriture des données de paquet. Chaque paquet est coupé par
octets de données. Les valeurs positives coupent au début du paquet alors que négatives
les valeurs sont coupées à la fin du paquet.
Si un décalage facultatif précède le , alors les octets hachés seront décalés
de cette valeur. Les décalages positifs proviennent du début du paquet, tandis que les décalages négatifs
les décalages sont à partir de la fin du paquet.
Ceci est utile pour couper les en-têtes pour la décapsulation d'une capture entière, en supprimant
en-têtes de tunneling, ou dans le cas rare où la conversion entre deux formats de fichiers
laisse des octets aléatoires à la fin de chaque paquet. Une autre utilisation est de supprimer le vlan
Mots clés.
REMARQUE : Cette option peut être utilisée plusieurs fois, ce qui vous permet de couper des octets
de jusqu'à deux zones différentes d'un paquet en un seul passage à condition que vous spécifiiez
au moins une longueur de coupe comme valeur positive et au moins une comme valeur négative.
Toutes les longueurs de coupe positives sont additionnées ainsi que toutes les longueurs de coupe négatives.
-d Tente de supprimer les paquets en double. La longueur et le hachage MD5 du paquet actuel
sont comparés aux quatre (4) paquets précédents. Si une correspondance est trouvée, le courant
le paquet est ignoré. Cette option équivaut à utiliser l'option -D 5.
-RÉ
Tente de supprimer les paquets en double. La longueur et le hachage MD5 du paquet actuel
sont comparés aux précédents - 1 paquet. Si une correspondance est trouvée, le
le paquet actuel est ignoré.
L'utilisation de l'option -D 0 combinée avec l' -v L'option est utile dans la mesure où chaque paquet
Le numéro de paquet, Len et le hachage MD5 seront imprimés sur la sortie standard. Cette sortie verbeuse
(en particulier les chaînes de hachage MD5) peuvent être utiles dans les scripts pour identifier les doublons
paquets à travers les fichiers de trace.
Les est spécifié comme une valeur entière comprise entre 0 et 1000000 (inclus).
REMARQUE : spécification de grande valeurs avec des fichiers de trace volumineux peuvent entraîner des
longs délais de traitement pour modifiercap.
-E
Définit la probabilité que les octets du fichier de sortie soient modifiés de manière aléatoire. Modifier la limite Usages
cette probabilité (entre 0.0 et 1.0 inclus) d'appliquer des erreurs à chaque octet de données dans
le fichier. Par exemple, une probabilité de 0.02 signifie que chaque octet a 2% de chance de
avoir une erreur.
Cette option est destinée à être utilisée pour les dissecteurs de protocole de test fuzz.
-F
Définit le format de fichier du fichier de capture de sortie. Modifier la limite peut écrire le fichier dans
plusieurs formats, modifiercap -F fournit une liste des formats de sortie disponibles. Les
par défaut est le pcap le format.
-h Affiche la version et les options et quitte.
-je
Divise la sortie du paquet en différents fichiers en fonction d'intervalles de temps uniformes à l'aide d'un
intervalle maximal de chaque. Chaque fichier de sortie sera créé avec un
suffixe -nnnnn, commençant par 00000. Si les paquets pour l'intervalle de temps spécifié sont
écrit dans le fichier de sortie, le fichier de sortie suivant est ouvert. La valeur par défaut est d'utiliser un
fichier de sortie unique.
-JE
Ignorer le nombre d'octets spécifié au début de la trame pendant le hachage MD5
calcul Utile pour supprimer les paquets dupliqués prélevés sur plusieurs routeurs (différents
adresses mac par exemple) par exemple -I 26 dans le cas d'Ether/IP/ ignorera d'etherde Géographie (14) et avec la
En-tête IP (20 - 4(src ip) - 4(dst ip)). La valeur par défaut est 0.
-L Ajustez la longueur du cadre d'origine en conséquence lors de la coupe et/ou de l'accrochage (en
en plus de la longueur capturée, qui est toujours ajustée, que -L is
spécifié ou non). Voir également -C <choplen> et -s <snaplen>.
-o
Lorsqu'il est utilisé en conjonction avec -E, saute quelques octets du début du paquet de
étant changé. De cette façon, certains en-têtes ne sont pas modifiés et le fuzzer est plus
concentré sur une plus petite partie du paquet. Garder une partie du paquet fixe de la même manière
dissecteur est déclenché, ce qui rend le fuzzing plus précis.
-r Inverse la sélection de paquet. Provoque les paquets dont les numéros de paquet sont spécifiés
sur la ligne de commande à écrire dans le fichier de capture de sortie, au lieu de supprimer
Eux.
-s
Définit la longueur de l'instantané à utiliser lors de l'écriture des données. Si la -s le drapeau est utilisé pour
spécifier une longueur d'instantané, des paquets dans le fichier d'entrée avec plus de données capturées que le
la longueur d'instantané spécifiée n'aura que la quantité de données spécifiée par l'instantané
longueur écrite dans le fichier de sortie.
Cela peut être utile si le programme qui doit lire le fichier de sortie ne peut pas gérer
paquets plus grands qu'une certaine taille (par exemple, les versions de snoop dans Solaris
2.5.1 et Solaris 2.6 semblent rejeter les paquets Ethernet plus volumineux que la norme
Ethernet MTU, les rendant incapables de gérer les captures Gigabit Ethernet si jumbo
paquets ont été utilisés).
-S
Le temps ajuste les paquets sélectionnés pour assurer un ordre chronologique strict.
Les la valeur représente les secondes relatives spécifiées comme
[-]secondes[.fractionnaire secondes].
Au fur et à mesure que le fichier de capture est traité, l'heure absolue de chaque paquet est peut-être ajusté à
être égal ou supérieur à l'horodatage absolu du paquet précédent selon le
valeur.
Si la valeur est 0 ou supérieure (par exemple 0.000001) alors uniquement paquets
avec un horodatage inférieur au paquet précédent sera ajusté. L'horodatage ajusté
valeur sera définie pour être égale à la valeur d'horodatage du paquet précédent plus le
valeur de la valeur. UNE valeur de 0
ajustera le nombre minimum de valeurs d'horodatage nécessaires pour garantir que le
le fichier de capture résultant est dans un ordre chronologique strict.
Si value est spécifié comme une valeur négative, puis l'horodatage
valeurs de TOUTE les paquets seront ajustés pour être égaux à la valeur d'horodatage du
paquet précédent plus la valeur absolue du réglage strict de l'heure valeur. UNE
la valeur -0 entraînera l'horodatage de tous les paquets
valeur du premier paquet.
Cette fonctionnalité est utile lorsque le fichier de trace contient un paquet occasionnel avec un
temps delta par rapport au paquet précédent.
-t
Définit l'ajustement de temps à utiliser sur les paquets sélectionnés. Si la -t le drapeau est utilisé pour
spécifier un ajustement de temps, l'ajustement spécifié sera appliqué à tous les sélectionnés
paquets dans le fichier de capture. L'ajustement est spécifié comme [-]secondes[.fractionnaire
secondes]. Par exemple, -t 3600 avance l'horodatage des paquets sélectionnés d'une heure
tout en -t -0.5 réduit l'horodatage des paquets sélectionnés d'une demi-seconde.
Cette fonctionnalité est utile lors de la synchronisation des dumps collectés sur différentes machines où
la différence de temps entre les deux machines est connue ou peut être estimée.
-T
Définit le type d'encapsulation de paquet du fichier de capture de sortie. Si la -T le drapeau est utilisé
pour spécifier un type d'encapsulation, le type d'encapsulation du fichier de capture de sortie
sera forcé au type spécifié. modifiercap -T fournit une liste des
les types. Le type par défaut est celui approprié au type d'encapsulation de l'entrée
fichier de capture.
Remarque : cela force simplement le type d'encapsulation du fichier de sortie à être spécifié
taper; les en-têtes des paquets ne seront pas traduits de l'encapsulation
type du fichier de capture d'entrée au type d'encapsulation spécifié (par exemple, il
ne traduira pas une capture Ethernet en une capture FDDI si une capture Ethernet est
lire et '-T fddi' est spécifié). Si vous devez supprimer/ajouter des en-têtes depuis/vers un paquet,
Tu auras besoin de od(1) /texte2pcap (1).
-v cause modifiercap pour imprimer des messages détaillés pendant qu'il fonctionne.
L'utilisation de -v avec les commutateurs de déduplication de -d, -D or -w provoquera tous les hachages MD5
à imprimer, que le paquet soit sauté ou non.
-V Imprimer la version et quitter.
-w
Tente de supprimer les paquets en double. L'heure d'arrivée du paquet actuel est comparée
avec jusqu'à 1000000 paquets précédents. Si l'heure d'arrivée relative du paquet est moins
que or égal à les d'un paquet précédent et la longueur du paquet et
Le hachage MD5 du paquet actuel est le même que celui du paquet à ignorer. Le doublon
le test de comparaison s'arrête lorsque l'heure d'arrivée relative du paquet actuel est supérieure à
.
Les est spécifié comme secondes[.fractionnaire secondes].
Le composant [.fractional seconds] peut être spécifié à neuf (9) décimales
(milliards de seconde) mais la plupart des fichiers de trace typiques ont une résolution de six (6)
décimales (millionièmes de seconde).
REMARQUE : spécification de grande les valeurs avec des fichiers de trace volumineux peuvent entraîner
délais de traitement très longs pour modifiercap.
Noter la -w L'option suppose que les paquets sont dans l'ordre chronologique. Si la
les paquets ne sont PAS dans l'ordre chronologique, alors le -w l'option de suppression des doublons peut ne pas
identifier certains doublons.
EXEMPLES
Pour voir une description plus détaillée des options, utilisez :
modifiercap -h
Pour réduire le fichier de capture en tronquant les paquets à 64 octets et en l'écrivant en tant que Sun
utilisation du fichier snoop :
editcap -s 64 -F snoop capture.pcap shortcapture.snoop
Pour supprimer le paquet 1000 du fichier de capture, utilisez :
editcap capture.pcap sans1000.pcap 1000
Pour limiter un fichier de capture aux paquets du numéro 200 à 750 (inclus), utilisez :
editcap -r capture.pcap petit.pcap 200-750
Pour obtenir tous les paquets du numéro 1 à 500 (inclus), utilisez :
editcap -r capture.pcap first500.pcap 1-500
or
editcap capture.pcap first500.pcap 501-9999999
Pour exclure les paquets 1, 5, 10 à 20 et 30 à 40 du nouveau fichier, utilisez :
editcap capture.pcap exclure.pcap 1 5 10-20 30-40
Pour sélectionner uniquement les paquets 1, 5, 10 à 20 et 30 à 40 pour le nouveau fichier, utilisez :
editcap -r capture.pcap select.pcap 1 5 10-20 30-40
Pour supprimer les paquets en double vus dans les quatre trames précédentes, utilisez :
editcap -d capture.pcap dedup.pcap
Pour supprimer les paquets en double vus dans les 100 images précédentes, utilisez :
editcap -D 101 capture.pcap dedup.pcap
Pour supprimer les paquets en double vus égal à or moins que 1/10e de seconde :
editcap -w 0.1 capture.pcap dedup.pcap
Pour afficher le hachage MD5 pour tous les paquets (et NE PAS générer de vrai fichier de sortie) :
editcap -v -D 0 capture.pcap /dev/null
ou sur les systèmes Windows
editcap -v -D 0 capture.pcap NUL
Pour avancer les horodatages de chaque paquet de 3.0827 secondes :
editcap -t 3.0827 capture.pcap ajusté.pcap
Pour vous assurer que tous les horodatages sont dans un ordre chronologique strict :
editcap -S 0 capture.pcap ajusté.pcap
Pour introduire 5 % d'erreurs aléatoires dans un fichier de capture, utilisez :
editcap -E 0.05 capture.pcap capture_error.pcap
Pour supprimer les balises vlan de tous les paquets dans un fichier de capture encapsulé Ethernet, utilisez :
editcap -L -C 12:4 capture_vlan.pcap capture_no_vlan.pcap
Pour découper les régions de 10 octets et de 20 octets du paquet de 75 octets suivant en un seul
passer, utilisez l'une des 8 méthodes possibles ci-dessous :
<---------------------------- 75 --------------------- ------->
+---+-------+-----------+--------------+--------- ----------+
| 5 | 10 | 15 | 20 | 25 |
+---+-------+-----------+--------------+--------- ----------+
1) editcap -C 5:10 -C -25:-20 capture.pcap haché.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcap haché.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcap haché.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcap haché.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcap haché.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcap haché.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcap haché.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcap haché.pcap
Pour ajouter des chaînes de commentaires aux 2 premières trames d'entrée, utilisez :
editcap -a "1:1st frame" -a 2:Second capture.pcap capture-comments.pcap
Utilisez editcap en ligne à l'aide des services onworks.net
