Ubuntu Online, Fedora Online, Windows 온라인 에뮬레이터 또는 MAC OS 온라인 에뮬레이터와 같은 여러 무료 온라인 워크스테이션 중 하나를 사용하여 OnWorks 무료 호스팅 공급자에서 실행할 수 있는 editcap 명령입니다.
프로그램:
이름
editcap - 캡처 파일의 형식 편집 및/또는 번역
개요
에디캡 [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [오프셋:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] 인파일 아웃파일 [ 패킷#[-패킷#] ... ]
에디캡 -d | -D | -w [ -v ] [ -I ]
인파일 아웃파일
에디캡 [ -V ]
기술
에디캡 캡처된 패킷의 일부 또는 전부를 읽는 프로그램입니다. 인파일,
선택적으로 다양한 방법으로 변환하고 결과 패킷을 캡처에 씁니다.
아웃파일 (또는 아웃파일).
기본적으로 다음에서 모든 패킷을 읽습니다. 인파일 그리고 그것들을 아웃파일 pcap에서
파일 형식.
선택적 패킷 번호 목록은 명령 꼬리에 지정할 수 있습니다. 개별 패킷
공백으로 구분된 숫자 및/또는 패킷 번호 범위는 다음과 같이 지정할 수 있습니다.
스타트-end, 모든 패킷을 참조 스타트 에 end. 기본적으로 선택된 패킷
그 숫자로 지원 캡처 파일에 기록됩니다. 만약 -r 플래그가 지정되고,
전체 패킷 선택이 반전됩니다. 그 경우 만 선택된 패킷은
캡처 파일에 기록됩니다.
에디캡 중복 패킷을 제거하는 데에도 사용할 수 있습니다. 몇 가지 다른 옵션(-d, -D
과 -w)는 패킷 창 또는 상대 시간 창을 제어하는 데 사용됩니다.
중복 비교.
에디캡 프레임 번호에 주석 문자열을 할당하는 데 사용할 수 있습니다.
에디캡 에서 지원하는 동일한 캡처 파일을 감지하고 읽고 쓸 수 있습니다.
와이어 샤크. 입력 파일에는 특정 파일 이름 확장자가 필요하지 않습니다. 파일 형식 및
선택적 gzip 압축이 자동으로 감지됩니다. 초입 부근
설명 섹션 와이어 샤크(1) 또는
에 대한 자세한 설명입니다
방법 와이어 샤크 같은 방식으로 처리합니다. 에디캡 이것을 처리합니다.
에디캡 여러 출력 형식으로 파일을 쓸 수 있습니다. NS -F 플래그를 지정하는 데 사용할 수 있습니다.
캡처 파일을 작성할 형식. 에디캡 -F 사용 가능한 목록을 제공합니다.
출력 형식.
옵션
-ㅏ
특정 프레임 번호에 대해 주어진 주석 문자열을 할당합니다. 반복 가능
여러 프레임. 공백이 포함된 주석 문자열에는 따옴표를 사용해야 합니다.
-ㅏ
타임스탬프가 켜져 있거나 시작 시간 이후인 패킷만 저장합니다. 주어진 시간
다음 형식으로 YYYY-MM-DD HH:MM:SS
-비
타임스탬프가 중지 시간 이전인 패킷만 저장합니다. 시간은
다음 형식 YYYY-MM-DD HH:MM:SS
-씨
균일한 패킷 수를 기준으로 패킷 출력을 다른 파일로 분할합니다.
최대 각. 각 출력 파일은 접미사로 생성됩니다.
-nnnnn, 00000부터 시작. 지정된 수의 패킷이
출력 파일, 다음 출력 파일이 열립니다. 기본값은 단일 출력을 사용하는 것입니다.
파일.
-C [오프셋:]
패킷 데이터를 쓸 때 사용할 절단 길이를 설정합니다. 각 패킷은
데이터 바이트. 양수 값은 패킷 시작 부분에서 잘리고 음수 값은
값은 패킷 끝에서 절단됩니다.
선택적 오프셋이 그러면 잘린 바이트가 오프셋됩니다.
그 값에서. 양수 오프셋은 패킷 시작 부분부터이고 음수 오프셋은
오프셋은 패킷 끝에서 시작됩니다.
이것은 전체 캡처의 캡슐화 해제를 위해 헤더를 자르고 제거하는 데 유용합니다.
터널링 헤더, 또는 드문 경우에 두 파일 형식 간의 변환
각 패킷의 끝에 임의의 바이트를 남깁니다. 또 다른 용도는 VLAN을 제거하는 것입니다.
태그.
참고: 이 옵션은 한 번 이상 사용할 수 있으므로 효과적으로 바이트를 잘라낼 수 있습니다.
지정하는 경우 단일 패스에서 패킷의 최대 두 영역에서
적어도 하나의 절단 길이는 양수 값이고 적어도 하나는 음수 값입니다.
모든 양의 절단 길이는 모두 음의 절단 길이와 마찬가지로 함께 추가됩니다.
-d 중복 패킷 제거를 시도합니다. 현재 패킷의 길이 및 MD5 해시
이전 4개의 패킷과 비교됩니다. 일치하는 항목이 발견되면 현재
패킷을 건너뜁니다. 이 옵션은 옵션을 사용하는 것과 같습니다. -D 5.
-디
중복 패킷을 제거하려고 시도합니다. 현재 패킷의 길이 및 MD5 해시
이전과 비교된다 - 1 패킷. 일치하는 항목이 발견되면
현재 패킷을 건너뜁니다.
옵션의 사용 -D 0 와 함께 -v 옵션은 각 패킷의
패킷 번호, Len 및 MD5 해시가 표준 출력으로 인쇄됩니다. 이 자세한 출력
(특히 MD5 해시 문자열)는 스크립트에서 중복을 식별하는 데 유용할 수 있습니다.
추적 파일 전체의 패킷.
그만큼 0에서 1000000(포함) 사이의 정수 값으로 지정됩니다.
참고: 크게 지정 큰 추적 파일이 있는 값은 매우 큰 결과를 초래할 수 있습니다.
긴 처리 시간 에디캡.
-이자형
출력 파일의 바이트가 무작위로 변경될 확률을 설정합니다. 에디캡 사용
각 데이터 바이트에 오류를 적용할 확률(0.0에서 1.0 사이)
파일. 예를 들어, 0.02의 확률은 각 바이트가 2%의 기회를 갖는다는 것을 의미합니다.
오류가 있습니다.
이 옵션은 퍼즈 테스트 프로토콜 분석기에 사용하기 위한 것입니다.
-NS
출력 캡처 파일의 파일 형식을 설정합니다. 에디캡 에 파일을 쓸 수 있습니다
여러 형식, 에디캡 -F 사용 가능한 출력 형식 목록을 제공합니다. NS
기본값은 pcap 형식입니다.
-h 버전과 옵션을 인쇄하고 종료합니다.
-나
패킷 출력을 일정한 시간 간격을 기준으로 다른 파일로 분할합니다.
최대 간격 각. 각 출력 파일은
접미사 -nnnnn, 00000부터 시작. 지정된 시간 간격 동안의 패킷이
출력 파일에 기록되면 다음 출력 파일이 열립니다. 기본값은
단일 출력 파일.
-나
MD5 해시 동안 프레임 시작 부분에 지정된 바이트 수 무시
계산 여러 라우터에서 가져온 중복 패킷을 제거하는 데 유용합니다.
예를 들어 mac 주소) 예: Ether/IP/의 경우 -I 26은 무시합니다. 에테르(14)과하면
IP 헤더(20 - 4(src ip) - 4(dst ip)). 기본값은 0입니다.
-L 자르기 및/또는 스냅할 때 원래 프레임 길이를 적절하게 조정합니다(in
여부에 관계없이 항상 조정되는 캡처된 길이에 추가됩니다. -L is
지정 여부). 또한보십시오 -C <초플렌> 및 -s <스나플렌>.
-영형
-E와 함께 사용하면 패킷 시작 부분에서 일부 바이트를 건너뜁니다.
변경 중. 이런 식으로 일부 헤더는 변경되지 않으며 fuzzer는 더
패킷의 더 작은 부분에 초점을 맞춥니다. 패킷의 일부를 동일하게 고정
fuzzing을 더 정확하게 만드는 dissector가 트리거됩니다.
-r 패킷 선택을 반대로 합니다. 패킷 번호가 지정된 패킷이
삭제하는 대신 출력 캡처 파일에 쓸 명령줄에서
그들.
-NS
데이터를 쓸 때 사용할 스냅샷 길이를 설정합니다. 만약 -s 플래그는 다음과 같이 사용됩니다.
스냅샷 길이, 입력 파일의 패킷보다 캡처된 데이터가 더 많은 패킷을 지정합니다.
지정된 스냅샷 길이는 스냅샷에 지정된 양의 데이터만 갖습니다.
출력 파일에 기록된 길이입니다.
이것은 출력 파일을 읽을 프로그램이 처리할 수 없는 경우에 유용할 수 있습니다.
특정 크기보다 큰 패킷(예: Solaris의 snoop 버전
2.5.1 및 Solaris 2.6은 표준보다 큰 이더넷 패킷을 거부하는 것으로 보입니다.
이더넷 MTU로 인해 점보인 경우 기가비트 이더넷 캡처를 처리할 수 없습니다.
패킷을 사용했습니다.)
-에스
엄격한 연대순을 보장하기 위해 선택한 패킷의 시간을 조정합니다.
그만큼 값은 다음과 같이 지정된 상대 초를 나타냅니다.
[-]초[.분수 초].
캡처 파일이 처리됨에 따라 각 패킷의 절대 시간은 혹시 로 조정
에 따라 이전 패킷의 절대 타임스탬프와 같거나 커야 합니다.
값.
만약에 값이 0 이상(예: 0.000001)인 경우 만 패킷
이전 패킷보다 작은 타임스탬프가 조정됩니다. 조정된 타임스탬프
값은 이전 패킷의 타임스탬프 값에
의 가치 값. ㅏ 0의 값
보장하기 위해 필요한 타임스탬프 값의 최소 수를 조정합니다.
결과 캡처 파일은 엄격한 연대순입니다.
만약에 값이 음수 값으로 지정된 다음 타임스탬프
~의 가치 모든 패킷은 타임스탬프 값과 같도록 조정됩니다.
이전 패킷의 절대값을 더한 값 엄격한 시간 조정 값. ㅏ
값이 -0이면 타임스탬프가 있는 모든 패킷이 생성됩니다.
첫 번째 패킷의 값입니다.
이 기능은 추적 파일에 가끔 음수가 포함된 패킷이 있을 때 유용합니다.
이전 패킷에 상대적인 델타 시간.
-티
선택한 패킷에 사용할 시간 조정을 설정합니다. 만약 -t 플래그는 다음과 같이 사용됩니다.
시간 조정을 지정하면 지정된 조정이 선택한 모든 항목에 적용됩니다.
캡처 파일의 패킷. 조정은 [-]로 지정됩니다.초[.분수
초]. 예를 들어, -t 3600은 선택한 패킷의 타임스탬프를 XNUMX시간 앞당깁니다.
동안 -t -0.5는 선택한 패킷의 타임스탬프를 XNUMX초 줄입니다.
이 기능은 다른 시스템에서 수집된 덤프를 동기화할 때 유용합니다.
두 기계 사이의 시차를 알고 있거나 추정할 수 있습니다.
-티
출력 캡처 파일의 패킷 캡슐화 유형을 설정합니다. 만약 -T 플래그가 사용됩니다
캡슐화 유형을 지정하기 위해 출력 캡처 파일의 캡슐화 유형
지정된 유형으로 강제 실행됩니다. 에디캡 -T 사용 가능한 목록을 제공합니다.
유형. 기본 유형은 입력의 캡슐화 유형에 적합한 유형입니다.
캡처 파일.
참고: 이렇게 하면 출력 파일의 캡슐화 유형이 지정된 형식이 됩니다.
유형; 패킷의 패킷 헤더는 캡슐화에서 변환되지 않습니다.
입력 캡처 파일의 유형을 지정된 캡슐화 유형(예:
이더넷 캡처가 있는 경우 이더넷 캡처를 FDDI 캡처로 변환하지 않습니다.
읽고 '-T fddi'가 지정됨). 패킷에서 헤더를 제거/추가해야 하는 경우,
필요할 것이예요 od(1) /text2pcap(1).
-v 원인 에디캡 작동하는 동안 자세한 메시지를 인쇄합니다.
사용 -v 의 중복 제거 스위치 사용 -d, -D or -w 모든 MD5 해시가 발생합니다.
패킷을 건너뛰는지 여부에 관계없이 인쇄됩니다.
-V 버전을 인쇄하고 종료합니다.
-w
중복 패킷을 제거하려고 시도합니다. 현재 패킷의 도착시간을 비교
최대 1000000개의 이전 패킷을 포함합니다. 패킷의 상대 도착 시간이 적게
보다 or 같은 에 그만큼 이전 패킷과 패킷 길이 및
현재 패킷의 MD5 해시는 건너뛸 패킷과 동일합니다. 복제
현재 패킷의 상대 도착 시간이 다음보다 크면 비교 테스트가 중지됩니다.
.
그만큼 로 지정됩니다 초[.분수 초].
[.fractional seconds] 구성 요소는 소수점 이하 9자리로 지정할 수 있습니다.
(6억분의 XNUMX초)이지만 대부분의 일반적인 추적 파일의 해상도는 XNUMX입니다.
소수 자릿수(백만분의 XNUMX초).
참고: 크게 지정 큰 추적 파일이 있는 값은 다음을 초래할 수 있습니다.
매우 긴 처리 시간 에디캡.
참고 : -w 옵션은 패킷이 연대순이라고 가정합니다. 만약
패킷은 시간순이 아닙니다. -w 중복 제거 옵션은
일부 중복을 식별합니다.
사용 예
옵션에 대한 자세한 설명을 보려면 다음을 사용하십시오.
editcap -h
64바이트에서 패킷을 자르고 Sun으로 작성하여 캡처 파일 축소
snoop 파일 사용:
editcap -s 64 -F 스눕 캡처.pcap shortcapture.snoop
캡처 파일에서 패킷 1000을 삭제하려면 다음을 사용하십시오.
editcap 캡처.pcap sans1000.pcap 1000
캡처 파일을 200에서 750(포함)까지의 패킷으로 제한하려면 다음을 사용하십시오.
editcap -r Capture.pcap small.pcap 200-750
번호 1-500(포함)의 모든 패킷을 가져오려면 다음을 사용하십시오.
editcap -r 캡처.pcap first500.pcap 1-500
or
editcap 캡처.pcap first500.pcap 501-9999999
새 파일에서 패킷 1, 5, 10~20 및 30~40을 제외하려면 다음을 사용하십시오.
editcap 캡처.pcap 제외.pcap 1 5 10-20 30-40
새 파일 사용을 위해 패킷 1, 5, 10~20 및 30~40만 선택하려면 다음을 수행하십시오.
editcap -r 캡처.pcap select.pcap 1 5 10-20 30-40
이전 XNUMX개의 프레임에서 확인된 중복 패킷을 제거하려면 다음을 사용하십시오.
editcap -d 캡처.pcap dedup.pcap
이전 100개 프레임 내에서 확인된 중복 패킷을 제거하려면 다음을 사용하십시오.
editcap -D 101 캡처.pcap dedup.pcap
보이는 중복 패킷을 제거하려면 같은 에 or 적게 보다 1/10초:
editcap -w 0.1 캡처.pcap dedup.pcap
모든 패킷에 대한 MD5 해시를 표시하려면(실제 출력 파일을 생성하지 않음):
editcap -v -D 0 Capture.pcap /dev/null
또는 Windows 시스템에서
editcap -v -D 0 캡처.pcap NUL
각 패킷의 타임스탬프를 3.0827초 앞당기려면:
editcap -t 3.0827 capture.pcap 조정.pcap
모든 타임스탬프가 엄격한 연대순으로 되어 있는지 확인하려면:
editcap -S 0 capture.pcap 조정.pcap
캡처 파일에 5%의 무작위 오류를 도입하려면 다음을 사용하십시오.
editcap -E 0.05 캡처.pcap 캡처_오류.pcap
이더넷 캡슐화 캡처 파일 내의 모든 패킷에서 vlan 태그를 제거하려면 다음을 사용하십시오.
editcap -L -C 12:4 Capture_vlan.pcap Capture_no_vlan.pcap
한 번에 다음 10바이트 패킷에서 20바이트 및 75바이트 영역을 모두 잘라내려면
아래 제공된 8가지 가능한 방법 중 하나를 사용하십시오.
<------------------------------------------ 75 --------------------- ------->
+---+-------+-----------+---------------+--------- ----------+
| 5 | 10 | 15 | 20 | 25 |
+---+-------+-----------+---------------+--------- ----------+
1) editcap -C 5:10 -C -25:-20 캡처.pcap 잘게 썬.pcap
2) editcap -C 5:10 -C 50:-20 캡처.pcap 잘게 썬.pcap
3) editcap -C -70:10 -C -25:-20 캡처.pcap 잘게 썬.pcap
4) editcap -C -70:10 -C 50:-20 캡처.pcap 잘게 썬.pcap
5) editcap -C 30:20 -C -60:-10 캡처.pcap 잘게 썬.pcap
6) editcap -C 30:20 -C 15:-10 캡처.pcap 잘게 썬.pcap
7) editcap -C -45:20 -C -60:-10 캡처.pcap 잘게 썬.pcap
8) editcap -C -45:20 -C 15:-10 캡처.pcap 잘게 썬.pcap
처음 2개의 입력 프레임에 주석 문자열을 추가하려면 다음을 사용하십시오.
editcap -a "1:1st 프레임" -a 2:두 번째 capture.pcap capture-comments.pcap
onworks.net 서비스를 사용하여 온라인에서 editcap 사용
