editcap - מקוון בענן

הפעל את editcap בספק האירוח החינמי של OnWorks על אובונטו מקוון, פדורה מקוון, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS

זהו הפקודה editcap שניתן להריץ בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS

הפעל באובונטו רוץ בפדורה הפעל ב-Windows Sim הפעל ב-MACOS Sim

תָכְנִית:

שֵׁם

editcap - ערוך ו/או תרגם את הפורמט של קבצי לכידה

תַקצִיר

editcap [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [לְקַזֵז:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] בקובץ אוסף [ חֲבִילָה#[-חֲבִילָה#] ... ]

editcap -d | -D | -w [ -v ] [ -I ]
בקובץ אוסף

editcap [ -V ]

תיאור

עריכת קאפ היא תוכנית שקוראת חלק מהמנות שנלכדו או את כולן מה- בקובץ,
אופציונלי ממיר אותם בדרכים שונות וכותב את החבילות המתקבלות ללכידה
אוסף (או אאוטפילים).

כברירת מחדל, הוא קורא את כל החבילות מה- בקובץ וכותב אותם ל אוסף ב-pcap
פורמט קובץ.

ניתן לציין רשימה אופציונלית של מספרי מנות על זנב הפקודה; חבילה בודדת
ניתן לציין מספרים המופרדים על ידי רווח לבן ו/או טווחים של מספרי מנות
התחלה-סוף, הכוונה לכל החבילות מ התחלה ל סוף. כברירת מחדל החבילות שנבחרו
עם המספרים האלה יהיה לֹא להיכתב לקובץ הלכידה. אם ה -r דגל מצוין,
כל בחירת החבילה הפוכה; במקרה הזה רק החבילות שנבחרו יהיו
נכתב לקובץ הלכידה.

עריכת קאפ יכול לשמש גם להסרת חבילות כפולות. מספר אפשרויות שונות (-d, -D
ו -w) משמשים לשליטה בחלון החבילה או בחלון הזמן היחסי שישמש עבורו
השוואה כפולה.

עריכת קאפ ניתן להשתמש כדי להקצות מחרוזות הערות למספרי מסגרת.

עריכת קאפ מסוגל לזהות, לקרוא ולכתוב את אותם קבצי לכידה הנתמכים על ידי
Wireshark. קובץ הקלט אינו זקוק לסיומת שם קובץ ספציפית; פורמט הקובץ ו
דחיסת gzip אופציונלית תזוהה אוטומטית. קרוב לתחילת ה
DESCRIPTION סעיף של Wireshark(1) או
הוא תיאור מפורט של
דרך Wireshark מטפל בזה, וזה באותו אופן עריכת קאפ מטפל בזה.

עריכת קאפ יכול לכתוב את הקובץ במספר פורמטי פלט. ה -F ניתן להשתמש בדגל כדי לציין
הפורמט שבו לכתוב את קובץ הלכידה; editcap -F מספק רשימה של הזמינים
פורמטי פלט.

אפשרויות

-א
עבור מספר המסגרת הספציפי, הקצה את מחרוזת ההערות הנתונה. ניתן לחזור על
מסגרות מרובות. יש להשתמש במרכאות עם מחרוזות הערות הכוללות רווחים.

-א
שומר רק את החבילות שחותמת הזמן שלהן מופיעה או אחרי שעת ההתחלה. הזמן נתון
בפורמט הבא YYYY-MM-DD HH:MM:SS

-ב
שומר רק את החבילות שחותמת הזמן שלהן היא לפני שעת העצירה. הזמן ניתן ב-
הפורמט הבא YYYY-MM-DD HH:MM:SS

-ג
מפצל את פלט החבילות לקבצים שונים בהתבסס על ספירת מנות אחידה עם a
מקסימום של כל אחד. כל קובץ פלט ייווצר עם סיומת
-nnnn, החל מ-00000. אם מספר החבילות שצוין נכתב ל-
קובץ הפלט, קובץ הפלט הבא נפתח. ברירת המחדל היא להשתמש בפלט בודד
קובץ.

-C [היסט:]
מגדיר את אורך הקיצוץ לשימוש בעת כתיבת נתוני החבילה. כל חבילה נקצצת על ידי
בתים של נתונים. ערכים חיוביים חותכים בהתחלה של החבילה בעודם שליליים
ערכים קוצצים בסוף החבילה.

אם היסט אופציונלי קודם ל- , אז הבתים הקצוצים יקוזזו
מהערך הזה. קיזוז חיובי הוא מתחילת החבילה, בעוד שלילי
הקיזוזים הם מקצה החבילה.

זה שימושי עבור חיתוך כותרות עבור ביטול קפסול של לכידה שלמה, הסרה
כותרות מנהור, או במקרה הנדיר שההמרה בין שני פורמטים של קבצים
משאיר כמה בתים אקראיים בסוף כל חבילה. שימוש נוסף הוא להסרת vlan
תגים.

הערה: ניתן להשתמש באפשרות זו יותר מפעם אחת, מה שמאפשר לך למעשה לקצץ בתים
משני אזורים שונים של מנה לכל היותר במעבר יחיד בתנאי שתציין
לפחות אורך חתך אחד כערך חיובי ולפחות אחד כערך שלילי.
כל אורכי הקצץ החיוביים מתווספים יחד כמו כל אורכי הקצץ השליליים.

-d ניסיונות להסיר מנות כפולות. האורך ו-MD5 hash של החבילה הנוכחית
מושווים לארבע (4) החבילות הקודמות. אם נמצא התאמה, הנוכחי
החבילה מדלגת. אפשרות זו מקבילה לשימוש באפשרות -D 5.

-ד
ניסיונות להסיר חבילות כפולות. האורך ו-MD5 hash של החבילה הנוכחית
מושווים לקודמים - 1 חבילות. אם נמצא התאמה, ה
החבילה הנוכחית מדלגת.

השימוש באופציה -D 0 בשילוב עם -v אפשרות שימושית בכך שכל חבילה
מספר חבילה, Len ו-MD5 Hash יודפסו באופן סטנדרטי. הפלט המילולי הזה
(במיוחד מחרוזות הגיבוב של MD5) יכולות להיות שימושיות בסקריפטים לזיהוי כפילויות
מנות על פני קבצי מעקב.

ה מצוין כערך מספר שלם בין 0 ל-1000000 (כולל).

הערה: מפרט גדול ערכים עם קבצי מעקב גדולים יכולים לגרום מאוד
זמני עיבוד ארוכים עבור editcap.

-ה
מגדיר את ההסתברות שהבתים בקובץ הפלט ישתנו באקראי. עריכת קאפ שימושים
ההסתברות (בין 0.0 ל-1.0 כולל) להחיל שגיאות על כל בייט נתונים ב
הקובץ. לדוגמה, הסתברות של 0.02 פירושה שלכל בייט יש סיכוי של 2%.
שיש שגיאה.

אפשרות זו נועדה לשמש עבור מנתחי פרוטוקולים לבדיקת fuzz.

-פ
מגדיר את פורמט הקובץ של קובץ לכידת הפלט. עריכת קאפ יכול לכתוב את הקובץ
מספר פורמטים, editcap -F מספק רשימה של פורמטי הפלט הזמינים. ה
ברירת המחדל היא ה pcap פורמט.

-h מדפיס את הגרסה ואת האפשרויות ויוצא.

-אני
מפצל את פלט החבילות לקבצים שונים בהתבסס על מרווחי זמן אחידים באמצעות a
מרווח מקסימלי של כל אחד. כל קובץ פלט ייווצר עם א
סיומת -nnnn, מתחילה ב-00000. אם מנות עבור מרווח הזמן שצוין הן
נכתב לקובץ הפלט, קובץ הפלט הבא נפתח. ברירת המחדל היא להשתמש ב-a
קובץ פלט בודד.

-אני
התעלם ממספר הבתים שצוין בתחילת המסגרת במהלך MD5 hash
חישוב שימושי להסרת חבילות משוכפלות שצולמו במספר נתבים (שונים
כתובות mac למשל) למשל -I 26 במקרה של Ether/IP/ יתעלם אתר(14) ו
כותרת IP(20 - 4(src ip) - 4(dst ip)). ערך ברירת המחדל הוא 0.

-L התאם את אורך המסגרת המקורית בהתאם בעת חיתוך ו/או הצמדה (in
תוספת לאורך שנלכד, שתמיד מותאם ללא קשר לשאלה אם -L is
צוין או לא). ראה גם -C <צ'ופלן> ו -s <סנאפלן>.

-o
בשימוש בשילוב עם -E, דלג על כמה בתים מתחילת החבילה מ
משתנה. בדרך זו חלק מהכותרות לא משתנות, וה-fuzzer הוא יותר
התמקד בחלק קטן יותר של החבילה. שמירה על חלק מהחבילה קבוע זהה
מנתח מופעל, מה שהופך את הטשטוש לדייק יותר.

-r הפוך את בחירת החבילה. גורם לחבילות שמספרי החבילות שלהן מצוינים
בשורת הפקודה שתיכתב לקובץ לכידת הפלט, במקום להשליך
אותם.

-ס
מגדיר את אורך תמונת המצב לשימוש בעת כתיבת הנתונים. אם ה -s דגל רגיל
ציין אורך תמונת מצב, מנות בקובץ הקלט עם יותר נתונים שנלכדו מאשר
אורך תמונת המצב שצוין יכלול רק את כמות הנתונים שצוינה על ידי תמונת המצב
אורך שנכתב לקובץ הפלט.

זה עשוי להיות שימושי אם התוכנית שאמורה לקרוא את קובץ הפלט לא יכולה להתמודד
מנות גדולות מגודל מסוים (לדוגמה, הגרסאות של snoop ב- Solaris
נראה כי 2.5.1 ו- Solaris 2.6 דוחים מנות Ethernet גדולות מהסטנדרט
Ethernet MTU, מה שהופך אותם ללא מסוגלים לטפל בלכידת ג'יגה-ביט Ethernet אם ג'מבו
נעשה שימוש במנות).

-ס
התאם זמן מנות נבחרות כדי להבטיח סדר כרונולוגי קפדני.

ה הערך מייצג שניות יחסיות שצוינו כ
[-]שניות[.חֶלקִי שניות].

בזמן שקובץ הלכידה מעובד הזמן המוחלט של כל חבילה הוא יִתָכֵן מותאם ל
להיות שווה לחותמת הזמן המוחלטת של החבילה הקודמת או גדולה ממנה בהתאם ל
ערך.

אם הערך הוא 0 או יותר (למשל 0.000001). רק מנות
עם חותמת זמן פחותה מהחבילה הקודמת תותאם. חותמת הזמן המותאמת
הערך יוגדר להיות שווה לערך חותמת הזמן של החבילה הקודמת בתוספת ה-
ערך של ערך. א ערך של 0
יתאים את המספר המינימלי של ערכי חותמת זמן הדרושים כדי להבטיח שה-
קובץ הלכידה המתקבל נמצא בסדר כרונולוגי קפדני.

אם הערך מצוין כערך שלילי, ולאחר מכן חותמת הזמן
ערכים של את כל מנות יותאמו כך שיהיו שווה לערך חותמת הזמן של ה-
חבילה קודמת בתוספת הערך המוחלט של ה- התאמת זמן קפדנית ערך. א
הערך של -0 יביא לכך שלכל החבילות יש את חותמת הזמן
ערך החבילה הראשונה.

תכונה זו שימושית כאשר לקובץ המעקב יש חבילה מדי פעם עם שלילי
זמן דלתא ביחס לחבילה הקודמת.

-ט
מגדיר את התאמת הזמן לשימוש בחבילות שנבחרו. אם ה -t דגל רגיל
ציין התאמת זמן, ההתאמה שצוינה תחול על כל הנבחרים
מנות בקובץ הלכידה. ההתאמה מצוינת כ-[-]שניות[.חֶלקִי
שניות]. לדוגמה, -t 3600 מקדים את חותמת הזמן על מנות נבחרות בשעה אחת
בזמן -t -0.5 מקטין את חותמת הזמן על מנות נבחרות בחצי שניה.

תכונה זו שימושית בעת סנכרון dumps שנאספו במכונות שונות היכן
הפרש הזמן בין שתי המכונות ידוע או ניתן לאומדן.

-T
מגדיר את סוג כינוס מנות של קובץ לכידת הפלט. אם ה -T נעשה שימוש בדגל
כדי לציין סוג אנקפסולציה, סוג האנקפסולציה של קובץ לכידת הפלט
ייאלץ לסוג שצוין. editcap -T מספק רשימה של הזמינים
סוגים. סוג ברירת המחדל הוא זה המתאים לסוג האנקפסולציה של הקלט
קובץ לכידה.

הערה: זה רק מאלץ את סוג האנקפסולציה של קובץ הפלט להיות המצוין
סוּג; כותרות החבילות של החבילות לא יתורגמו מהאנקפסולציה
סוג קובץ לכידת הקלט לסוג האנקפסולציה שצוין (לדוגמה, זה
לא יתרגם לכידת Ethernet ללכידת FDDI אם לכידת Ethernet
קרא ו '-T fddi' מצוין). אם אתה צריך להסיר/להוסיף כותרות מ/אל חבילה,
אתה תצטרך od(1) /text2pcap(1).

-v גורמים editcap כדי להדפיס הודעות מילוליות בזמן שהוא עובד.

שימוש -v עם מתגי ביטול הכפילות של -d, -D or -w יגרום לכל הגיבובים של MD5
להדפיס בין אם החבילה מדלגת או לא.

-V הדפס את הגרסה וצא.

-וו
ניסיונות להסיר חבילות כפולות. משווה את זמן ההגעה של החבילה הנוכחית
עם עד 1000000 חבילות קודמות. אם זמן ההגעה היחסי של החבילה הוא פחות
מֵאֲשֶׁר or שווה ל ה של חבילה קודמת ואורך החבילה ו
MD5 hash של החבילה הנוכחית זהה לחבילה שדילג עליה. הכפילה
בדיקת ההשוואה נעצרת כאשר זמן ההגעה היחסי של החבילה הנוכחית גדול מ
.

ה מצוין כ שניות[.חֶלקִי שניות].

ניתן לציין את הרכיב [.שבריר שניות] עד תשעה (9) מקומות עשרוניים
(מיליארדיות השנייה) אבל לרוב קבצי המעקב האופייניים יש רזולוציה של שש (6)
מקומות עשרוניים (מיליוניות השנייה).

הערה: מפרט גדול ערכים עם קבצי מעקב גדולים יכולים לגרום
זמני עיבוד ארוכים מאוד עבור editcap.

הערה: -w האופציה מניחה שהמנות נמצאות בסדר כרונולוגי. אם ה
החבילות אינן בסדר כרונולוגי ואז ה- -w ייתכן שהאפשרות להסרת כפילות לא
לזהות כמה כפילויות.

דוגמאות

כדי לראות תיאור מפורט יותר של האפשרויות השתמש:

editcap -h

כדי לכווץ את קובץ הלכידה על ידי קיצוץ החבילות ב-64 בתים וכתיבתו כ-Sun
שימוש בקובץ סנופ:

editcap -s 64 -F snoop capture.pcap shortcapture.snoop

כדי למחוק חבילה 1000 מקובץ הלכידה השתמש:

editcap capture.pcap sans1000.pcap 1000

כדי להגביל קובץ לכידה למנות ממספר 200 עד 750 (כולל) השתמש:

editcap -r capture.pcap small.pcap 200-750

כדי לקבל את כל החבילות ממספר 1-500 (כולל) השתמש:

editcap -r capture.pcap first500.pcap 1-500

or

editcap capture.pcap first500.pcap 501-9999999

כדי לא לכלול מנות 1, 5, 10 עד 20 ו-30 עד 40 מהקובץ החדש השתמש:

editcap capture.pcap exclude.pcap 1 5 10-20 30-40

כדי לבחור רק מנות 1, 5, 10 עד 20 ו-30 עד 40 לשימוש בקובץ החדש:

editcap -r capture.pcap select.pcap 1 5 10-20 30-40

כדי להסיר חבילות כפולות שנראו בארבע המסגרות הקודמות השתמש:

editcap -d capture.pcap dedup.pcap

כדי להסיר חבילות כפולות שנראו בתוך 100 המסגרות הקודמות השתמש:

editcap -D 101 capture.pcap dedup.pcap

כדי להסיר חבילות כפולות שנראו שווה ל or פחות מֵאֲשֶׁר 1/10 שנייה:

editcap -w 0.1 capture.pcap dedup.pcap

כדי להציג את ה-hash של MD5 עבור כל החבילות (ולא ליצור שום קובץ פלט אמיתי):

editcap -v -D 0 capture.pcap /dev/null

או במערכות Windows

editcap -v -D 0 capture.pcap NUL

כדי להקדים את חותמות הזמן של כל חבילה קדימה ב-3.0827 שניות:

editcap -t 3.0827 capture.pcap adjusted.pcap

כדי להבטיח שכל חותמות הזמן יהיו בסדר כרונולוגי קפדני:

editcap -S 0 capture.pcap adjusted.pcap

כדי להציג 5% שגיאות אקראיות בקובץ לכידה השתמש:

editcap -E 0.05 capture.pcap capture_error.pcap

כדי להסיר תגיות vlan מכל החבילות בתוך קובץ לכידה מובלע ב-Ethernet, השתמש ב:

editcap -L -C 12:4 capture_vlan.pcap capture_no_vlan.pcap

לקצץ גם את אזורי 10 בתים וגם את 20 בתים מהחבילה הבאה של 75 בתים ביחידה אחת
לעבור, השתמש בכל אחת מ-8 השיטות האפשריות המפורטות להלן:

<--------------------------- 75 ---------------------- ------->

+---+-------+---------------------+---- ----------+
| 5 | 10 | 15 | 20 | 25 |
+---+-------+---------------------+---- ----------+

1) editcap -C 5:10 -C -25:-20 capture.pcap chopped.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcap chopped.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcap chopped.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcap chopped.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcap chopped.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcap chopped.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcap chopped.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcap chopped.pcap

כדי להוסיף מחרוזות הערות ל-2 מסגרות הקלט הראשונות, השתמש ב:

editcap -a "1:1st frame" -a 2:Second capture.pcap capture-comments.pcap

השתמש ב-editcap באינטרנט באמצעות שירותי onworks.net