ນີ້ແມ່ນ editcap ຄໍາສັ່ງທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍສະຖານີເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
editcap - ແກ້ໄຂ ແລະ/ຫຼື ແປຮູບແບບຂອງໄຟລ໌ capture
ສະຫຼຸບສັງລວມ
editcap [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [ຊົດເຊີຍ:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] infile outfile [ ແພັກເກັດ#[-ແພັກເກັດ#] ... ]
editcap -d | -D | -w [ -v ] [ -I ]
infile outfile
editcap [ -V ]
ລາຍລະອຽດ
ການແກ້ໄຂ ແມ່ນໂຄງການທີ່ອ່ານບາງແພັກເກັດທີ່ຖືກຈັບຈາກ infile,
ທາງເລືອກທີ່ຈະປ່ຽນພວກມັນດ້ວຍວິທີຕ່າງໆ ແລະຂຽນແພັກເກັດທີ່ເປັນຜົນມາຈາກການຈັບພາບ
outfile (ຫຼື outfiles).
ໂດຍຄ່າເລີ່ມຕົ້ນ, ມັນອ່ານແພັກເກັດທັງໝົດຈາກ infile ແລະຂຽນໃຫ້ເຂົາເຈົ້າກັບ outfile ໃນ pcap
ຮູບແບບໄຟລ໌.
ບັນຊີລາຍຊື່ທາງເລືອກຂອງຈໍານວນແພັກເກັດສາມາດໄດ້ຮັບການລະບຸໄວ້ໃນຫາງຄໍາສັ່ງ; ແພັກເກັດສ່ວນຕົວ
ຕົວເລກທີ່ແຍກອອກໂດຍຊ່ອງຂາວແລະ/ຫຼືໄລຍະຂອງຈໍານວນຊຸດສາມາດໄດ້ຮັບການລະບຸໄວ້ເປັນ
ການເລີ່ມຕົ້ນ-ໃນຕອນທ້າຍ, ໂດຍອ້າງອີງໃສ່ແພັກເກັດທັງຫມົດຈາກ ການເລີ່ມຕົ້ນ to ໃນຕອນທ້າຍ. ໂດຍຄ່າເລີ່ມຕົ້ນຊຸດທີ່ເລືອກ
ກັບຕົວເລກເຫຼົ່ານັ້ນຈະ ບໍ່ ຖືກຂຽນໃສ່ໄຟລ໌ capture. ຖ້າ -r ທຸງແມ່ນໄດ້ລະບຸໄວ້,
ການເລືອກຊຸດທັງໝົດແມ່ນປີ້ນກັບກັນ; ໃນກໍລະນີນັ້ນ ພຽງແຕ່ ຊຸດທີ່ເລືອກຈະເປັນ
ຂຽນໃສ່ໄຟລ໌ capture.
ການແກ້ໄຂ ຍັງສາມາດຖືກນໍາໃຊ້ເພື່ອເອົາແພັກເກັດທີ່ຊ້ໍາກັນ. ທາງເລືອກທີ່ແຕກຕ່າງກັນຫຼາຍ (-d, -D
ແລະ -w) ຖືກໃຊ້ເພື່ອຄວບຄຸມປ່ອງຢ້ຽມແພັກເກັດຫຼືປ່ອງຢ້ຽມເວລາທີ່ກ່ຽວຂ້ອງທີ່ຈະໃຊ້ສໍາລັບ
ຊ້ໍາກັນການປຽບທຽບ.
ການແກ້ໄຂ ສາມາດໃຊ້ເພື່ອມອບໝາຍຂໍ້ຄິດເຫັນໃສ່ຕົວເລກກອບ.
ການແກ້ໄຂ ແມ່ນສາມາດກວດພົບ, ອ່ານແລະຂຽນໄຟລ໌ capture ດຽວກັນທີ່ໄດ້ຮັບການສະຫນັບສະຫນູນໂດຍ
Wireshark. ໄຟລ໌ປ້ອນຂໍ້ມູນບໍ່ຈໍາເປັນຕ້ອງມີການຂະຫຍາຍຊື່ໄຟລ໌ສະເພາະ; ຮູບແບບໄຟລ໌ແລະ
ການບີບອັດ gzip ທາງເລືອກຈະຖືກກວດພົບໂດຍອັດຕະໂນມັດ. ຢູ່ໃກ້ກັບຈຸດເລີ່ມຕົ້ນຂອງ
ພາກສ່ວນລາຍລະອຽດຂອງ wireshark(1) ຫຼື
ເປັນລາຍລະອຽດຂອງ
ວິທີການ Wireshark ຈັດການນີ້, ເຊິ່ງເປັນວິທີດຽວກັນ ການແກ້ໄຂ ຈັດການນີ້.
ການແກ້ໄຂ ສາມາດຂຽນໄຟລ໌ໃນຮູບແບບຜົນຜະລິດຫຼາຍ. ໄດ້ -F ທຸງສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດ
ຮູບແບບທີ່ຈະຂຽນໄຟລ໌ capture; editcap -F ສະຫນອງບັນຊີລາຍຊື່ຂອງທີ່ມີຢູ່
ຮູບແບບຜົນຜະລິດ.
OPTIONS
-ກ
ສໍາລັບຕົວເລກກອບສະເພາະ, ກໍານົດສະຕຣິງຄໍາເຫັນທີ່ໃຫ້. ສາມາດໄດ້ຮັບການຊ້ໍາສໍາລັບ
ຫຼາຍກອບ. ວົງຢືມຄວນຖືກໃຊ້ກັບສະຕຣິງຄຳເຫັນທີ່ຮວມເອົາຍະຫວ່າງ.
-ກ
ບັນທຶກສະເພາະແພັກເກັດທີ່ເວລາມີຢູ່ ຫຼືຫຼັງຈາກເວລາເລີ່ມຕົ້ນ. ເວລາແມ່ນໃຫ້
ໃນຮູບແບບຕໍ່ໄປນີ້ YYYY-MM-DD HH:MM:SS
- ຂ
ບັນທຶກສະເພາະແພັກເກັດທີ່ເວລາແມ່ນກ່ອນເວລາຢຸດ. ເວລາແມ່ນໃຫ້ຢູ່ໃນ
ຮູບແບບຕໍ່ໄປນີ້ YYYY-MM-DD HH:MM:SS
-ຄ
ແຍກແພັກເກັດຜົນຜະລິດອອກເປັນໄຟລ໌ທີ່ແຕກຕ່າງກັນໂດຍອີງໃສ່ການນັບຊອງເອກະພາບກັບ a
ສູງສຸດຂອງ ແຕ່ລະ. ແຕ່ລະໄຟລ໌ຜົນຜະລິດຈະຖືກສ້າງຂຶ້ນດ້ວຍຄໍາຕໍ່ທ້າຍ
-nnnn, ເລີ່ມຕົ້ນດ້ວຍ 00000. ຖ້າຈໍານວນແພັກເກັດທີ່ລະບຸໄວ້ຈະຖືກຂຽນໃສ່
ໄຟລ໌ຜົນຜະລິດ, ໄຟລ໌ຜົນຜະລິດຕໍ່ໄປແມ່ນເປີດ. ຄ່າເລີ່ມຕົ້ນແມ່ນການນໍາໃຊ້ຜົນຜະລິດດຽວ
ຍື່ນ.
-C [ຊົດເຊີຍ:]
ກໍານົດຄວາມຍາວຂອງຟັກເພື່ອໃຊ້ໃນເວລາຂຽນຂໍ້ມູນແພັກເກັດ. ແຕ່ລະຊອງແມ່ນຟັກໂດຍ
bytes ຂອງຂໍ້ມູນ. ຄ່າທາງບວກຕັດຢູ່ທີ່ແພັກເກັດເລີ່ມຕົ້ນໃນຂະນະທີ່ເປັນຄ່າລົບ
ຄ່າຟັກຢູ່ປາຍຊອງ.
ຖ້າການຊົດເຊີຍທາງເລືອກກ່ອນຫນ້າ , ຫຼັງຈາກນັ້ນ bytes ຟັກຈະຖືກຊົດເຊີຍ
ຈາກມູນຄ່ານັ້ນ. ການຊົດເຊີຍທາງບວກແມ່ນມາຈາກຊຸດເລີ່ມຕົ້ນ, ໃນຂະນະທີ່ເປັນລົບ
offsets ແມ່ນມາຈາກປາຍຊອງ.
ນີ້ແມ່ນເປັນປະໂຫຍດສໍາລັບການຟັກ headers ສໍາລັບ decapsulation ຂອງ capture ທັງຫມົດ, ຖອດອອກ
tunneling headers, ຫຼືໃນກໍລະນີທີ່ຫາຍາກທີ່ແປງລະຫວ່າງສອງຮູບແບບໄຟລ໌
ປ່ອຍບາງໄບຕ໌ສຸ່ມຢູ່ໃນຕອນທ້າຍຂອງແຕ່ລະແພັກເກັດ. ການນໍາໃຊ້ອີກອັນຫນຶ່ງແມ່ນສໍາລັບການຖອນ vlan
ແທັກ.
ຫມາຍເຫດ: ທາງເລືອກນີ້ສາມາດໄດ້ຮັບການນໍາໃຊ້ຫຼາຍກ່ວາຫນຶ່ງຄັ້ງ, ປະສິດທິຜົນໃຫ້ທ່ານເພື່ອຟັກ bytes
ຈາກຫຼາຍເຖິງສອງພື້ນທີ່ທີ່ແຕກຕ່າງກັນຂອງແພັກເກັດໃນໃບຜ່ານດຽວທີ່ໃຫ້ທ່ານລະບຸ
ຢ່າງຫນ້ອຍຫນຶ່ງຕັດຄວາມຍາວເປັນຄ່າບວກແລະຢ່າງຫນ້ອຍຫນຶ່ງເປັນຄ່າລົບ.
ຄວາມຍາວຂອງຟັກບວກທັງໝົດແມ່ນລວມເຂົ້າກັນເປັນຄວາມຍາວຟັກລົບທັງໝົດ.
-d ຄວາມພະຍາຍາມທີ່ຈະເອົາແພັກເກັດທີ່ຊໍ້າກັນ. ຄວາມຍາວ ແລະ MD5 hash ຂອງແພັກເກັດປັດຈຸບັນ
ປຽບທຽບກັບສີ່ຊຸດ (4) ທີ່ຜ່ານມາ. ຖ້າພົບການແຂ່ງຂັນ, ປະຈຸບັນ
ແພັກເກັດຖືກຂ້າມ. ຕົວເລືອກນີ້ແມ່ນເທົ່າກັບການໃຊ້ທາງເລືອກ -D 5.
-D
ພະຍາຍາມເອົາແພັກເກັດທີ່ຊໍ້າກັນອອກ. ຄວາມຍາວ ແລະ MD5 hash ຂອງແພັກເກັດປັດຈຸບັນ
ເມື່ອປຽບທຽບກັບທີ່ຜ່ານມາ - 1 ຊອງ. ຖ້າພົບການແຂ່ງຂັນ, ໄດ້
ແພັກເກັດປະຈຸບັນຖືກຂ້າມ.
ການນໍາໃຊ້ທາງເລືອກ -D 0 ລວມມີ -v ທາງເລືອກແມ່ນເປັນປະໂຫຍດໃນແຕ່ລະຊຸດຂອງ
ໝາຍເລກແພັກເກັດ, Len ແລະ MD5 Hash ຈະຖືກພິມອອກເປັນມາດຕະຖານ. ຜົນຜະລິດ verbose ນີ້
(ໂດຍສະເພາະ MD5 hash strings) ສາມາດເປັນປະໂຫຍດໃນສະຄຣິບເພື່ອລະບຸການຊໍ້າກັນ
ແພັກເກັດໃນທົ່ວໄຟລ໌ຕິດຕາມ.
ໄດ້ ຖືກກໍານົດເປັນຈໍານວນເຕັມລະຫວ່າງ 0 ແລະ 1000000 (ລວມ).
ຫມາຍເຫດ: ກໍານົດຂະຫນາດໃຫຍ່ ຄ່າທີ່ມີ tracefiles ຂະຫນາດໃຫຍ່ສາມາດສົ່ງຜົນໃຫ້ຫຼາຍ
ເວລາປຸງແຕ່ງຍາວສໍາລັບ editcap.
- ອ
ກໍານົດຄວາມເປັນໄປໄດ້ວ່າ bytes ໃນໄຟລ໌ຜົນຜະລິດໄດ້ຖືກປ່ຽນແປງແບບສຸ່ມ. ການແກ້ໄຂ ການນໍາໃຊ້
ຄວາມເປັນໄປໄດ້ນັ້ນ (ລະຫວ່າງ 0.0 ແລະ 1.0 ຮວມ) ເພື່ອນຳໃຊ້ຂໍ້ຜິດພາດກັບແຕ່ລະ byte ຂໍ້ມູນໃນ
ໄຟລ໌. ຕົວຢ່າງ, ຄວາມເປັນໄປໄດ້ຂອງ 0.02 ຫມາຍຄວາມວ່າແຕ່ລະ byte ມີໂອກາດ 2%.
ມີຄວາມຜິດພາດ.
ຕົວເລືອກນີ້ຫມາຍເຖິງການຖືກນໍາໃຊ້ສໍາລັບ fuzz-testing protocol dissectors.
-F
ກໍານົດຮູບແບບໄຟລ໌ຂອງໄຟລ໌ capture ຜົນຜະລິດ. ການແກ້ໄຂ ສາມາດຂຽນໄຟລ໌ໃນ
ຫຼາຍຮູບແບບ, editcap -F ໃຫ້ບັນຊີລາຍຊື່ຂອງຮູບແບບຜົນຜະລິດທີ່ມີຢູ່. ໄດ້
ຄ່າເລີ່ມຕົ້ນແມ່ນ pcap ຮູບແບບ.
-h ພິມສະບັບແລະທາງເລືອກແລະອອກ.
-i
ແຍກຜົນຜະລິດແພັກເກັດເປັນໄຟລ໌ທີ່ແຕກຕ່າງກັນໂດຍອີງໃສ່ຊ່ວງເວລາທີ່ເປັນເອກະພາບໂດຍໃຊ້ a
ໄລຍະຫ່າງສູງສຸດຂອງ ແຕ່ລະ. ແຕ່ລະໄຟລ໌ຜົນຜະລິດຈະຖືກສ້າງຂື້ນດ້ວຍ a
suffix -nnnnnn, ເລີ່ມຈາກ 00000. ຖ້າແພັກເກັດສໍາລັບຊ່ວງເວລາທີ່ກໍານົດໄວ້ແມ່ນ
ຂຽນໃສ່ໄຟລ໌ຜົນຜະລິດ, ໄຟລ໌ຜົນຜະລິດຕໍ່ໄປແມ່ນເປີດ. ຄ່າເລີ່ມຕົ້ນແມ່ນໃຊ້ a
ໄຟລ໌ຜົນຜະລິດດຽວ.
-I
ບໍ່ສົນໃຈຕົວເລກໄບຕ໌ທີ່ລະບຸໄວ້ໃນຕອນຕົ້ນຂອງເຟຣມໃນລະຫວ່າງ MD5 hash
ການຄຳນວນ ເປັນປະໂຫຍດທີ່ຈະເອົາແພັກເກັດທີ່ຊ້ຳກັນເອົາຢູ່ໃນ routers ຫຼາຍອັນ(ແຕກຕ່າງກັນ
mac addresses) ຕົວຢ່າງ: -I 26 ໃນກໍລະນີຂອງ Ether/IP/ ຈະບໍ່ສົນໃຈ ether(14) ແລະ
ສ່ວນຫົວ IP(20 - 4(src ip) - 4(dst ip)). ຄ່າເລີ່ມຕົ້ນແມ່ນ 0.
-L ປັບຄວາມຍາວຂອງກອບຕົ້ນສະບັບຕາມຄວາມເຫມາະສົມໃນເວລາທີ່ການຕັດແລະ / ຫຼື snapping (ໃນ
ນອກ ເໜືອ ໄປຈາກຄວາມຍາວທີ່ຈັບໄດ້, ເຊິ່ງຖືກປັບສະ ເໝີ ບໍ່ວ່າ -L is
ລະບຸ ຫຼື ບໍ່). ເບິ່ງນຳ -C <choplen> ແລະ -s <snaplen>.
-o
ເມື່ອໃຊ້ໃນການສົມທົບກັບ -E, ໃຫ້ຂ້າມບາງ bytes ຈາກຈຸດເລີ່ມຕົ້ນຂອງແພັກເກັດຈາກ
ກໍາລັງປ່ຽນແປງ. ດ້ວຍວິທີນີ້ບາງຫົວບໍ່ມີການປ່ຽນແປງ, ແລະ fuzzer ແມ່ນຫຼາຍກວ່າ
ເນັ້ນໃສ່ສ່ວນນ້ອຍໆຂອງຊຸດ. ການຮັກສາສ່ວນຫນຶ່ງຂອງຊຸດໄດ້ຖືກແກ້ໄຂຄືກັນ
dissector ແມ່ນ triggered, ທີ່ເຮັດໃຫ້ fuzzing ຊັດເຈນຫຼາຍ.
-r ປີ້ນການເລືອກແພັກເກັດ. ເຮັດໃຫ້ແພັກເກັດທີ່ມີເລກແພັກເກັດຖືກລະບຸໄວ້
ໃນເສັ້ນຄໍາສັ່ງທີ່ຈະຂຽນໃສ່ໄຟລ໌ capture ຜົນຜະລິດ, ແທນທີ່ຈະຍົກເລີກ
ໃຫ້ເຂົາເຈົ້າ.
-s
ກຳນົດຄວາມຍາວຂອງພາບຖ່າຍທີ່ຈະໃຊ້ໃນເວລາຂຽນຂໍ້ມູນ. ຖ້າ -s ທຸງແມ່ນໃຊ້ເພື່ອ
ລະບຸຄວາມຍາວຂອງ snapshot ເປັນ, packets ໃນໄຟລ໌ປ້ອນຂໍ້ມູນທີ່ມີຂໍ້ມູນ captured ຫຼາຍກ່ວາ
ຄວາມຍາວຂອງ snapshot ທີ່ລະບຸຈະມີພຽງແຕ່ຈໍານວນຂໍ້ມູນທີ່ລະບຸໂດຍ snapshot
ຄວາມຍາວທີ່ຂຽນໃສ່ໄຟລ໌ຜົນຜະລິດ.
ນີ້ອາດຈະເປັນປະໂຫຍດຖ້າຫາກວ່າໂຄງການທີ່ຈະອ່ານໄຟລ໌ຜົນຜະລິດບໍ່ສາມາດຈັດການໄດ້
packets ໃຫຍ່ກວ່າຂະຫນາດທີ່ແນ່ນອນ (ຕົວຢ່າງ, ສະບັບຂອງ snoop ໃນ Solaris
2.5.1 ແລະ Solaris 2.6 ປະກົດວ່າປະຕິເສດແພັກເກັດອີເທີເນັດທີ່ໃຫຍ່ກວ່າມາດຕະຖານ
Ethernet MTU, ເຮັດໃຫ້ພວກເຂົາບໍ່ສາມາດຈັດການ gigabit Ethernet captures ຖ້າ jumbo
packets ໄດ້ຖືກນໍາໃຊ້).
-ສ
ເວລາປັບແພັກເກັດທີ່ເລືອກເພື່ອຮັບປະກັນຄໍາສັ່ງຕາມລໍາດັບທີ່ເຄັ່ງຄັດ.
ໄດ້ ຄ່າເປັນຕົວແທນຂອງວິນາທີທີ່ກ່ຽວຂ້ອງລະບຸເປັນ
[-]ວິນາທີ[.ເສດສ່ວນ ວິນາທີ].
ເມື່ອໄຟລ໌ capture ໄດ້ຖືກປຸງແຕ່ງ, ແຕ່ລະຊຸດທີ່ໃຊ້ເວລາຢ່າງແທ້ຈິງແມ່ນ ອາດຈະເປັນ ປັບໃຫ້ເຂົ້າກັບ
ເທົ່າກັບ ຫຼືໃຫຍ່ກວ່າເວລາອັນແນ່ນອນຂອງແພັກເກັດທີ່ຜ່ານມາ ຂຶ້ນກັບ
ຄ່າ.
ຖ້າ ຄ່າແມ່ນ 0 ຫຼືຫຼາຍກວ່ານັ້ນ (ເຊັ່ນ: 0.000001) ຈາກນັ້ນ ພຽງແຕ່ ຊອງ
ດ້ວຍການສະແຕມເວລາໜ້ອຍກວ່າແພັກເກັດທີ່ຜ່ານມາຈະຖືກປັບ. ສະແຕມເວລາປັບ
ຄ່າຈະຖືກຕັ້ງໃຫ້ເທົ່າກັບຄ່າເວລາຂອງແພັກເກັດທີ່ຜ່ານມາບວກກັບ
ມູນຄ່າຂອງ ຄ່າ. ກ ມູນຄ່າ 0
ຈະປັບຕົວເລກຕໍາ່ສຸດທີ່ຂອງຄ່າເວລາທີ່ຈໍາເປັນເພື່ອຮັບປະກັນວ່າ
ໄຟລ໌ capture ຜົນໄດ້ຮັບແມ່ນຢູ່ໃນລໍາດັບ chronological ທີ່ເຄັ່ງຄັດ.
ຖ້າ ຄ່າແມ່ນລະບຸເປັນຄ່າລົບ, ຈາກນັ້ນສະແຕມເວລາ
ຄຸນຄ່າຂອງ ທັງຫມົດ ແພັກເກັດຈະຖືກປັບໃຫ້ເທົ່າກັບຄ່າເວລາຂອງ
ແພັກເກັດທີ່ຜ່ານມາບວກກັບຄ່າຢ່າງແທ້ຈິງຂອງ ການປັບປຸງທີ່ໃຊ້ເວລາຢ່າງເຂັ້ມງວດ ຄ່າ. ກ
ຄ່າຂອງ -0 ຈະສົ່ງຜົນໃຫ້ແພັກເກັດທັງໝົດມີການສະແຕມເວລາ
ມູນຄ່າຂອງຊຸດທໍາອິດ.
ຄຸນສົມບັດນີ້ແມ່ນເປັນປະໂຫຍດເມື່ອໄຟລ໌ຕິດຕາມມີແພັກເກັດເປັນບາງຄັ້ງຄາວທີ່ມີຄ່າລົບ
ເວລາ delta ທຽບກັບແພັກເກັດທີ່ຜ່ານມາ.
-t
ຕັ້ງຄ່າການປັບເວລາເພື່ອໃຊ້ໃນແພັກເກັດທີ່ເລືອກ. ຖ້າ -t ທຸງແມ່ນໃຊ້ເພື່ອ
ກໍານົດການປັບເວລາ, ການປັບທີ່ລະບຸຈະຖືກນໍາໃຊ້ກັບທັງຫມົດທີ່ເລືອກ
packets ໃນໄຟລ໌ capture. ການປັບປຸງແມ່ນລະບຸໄວ້ເປັນ [-]ວິນາທີ[.ເສດສ່ວນ
ວິນາທີ]. ຍົກຕົວຢ່າງ, -t 3600 ເລື່ອນເວລາໃສ່ແພັກເກັດທີ່ເລືອກໂດຍໜຶ່ງຊົ່ວໂມງ
ໃນຂະນະທີ່ -t -0.5 ຫຼຸດເວລາໃສ່ແພັກເກັດທີ່ເລືອກໂດຍເຄິ່ງວິນາທີ.
ຄຸນນະສົມບັດນີ້ແມ່ນເປັນປະໂຫຍດໃນເວລາທີ່ synchronizing dumps ເກັບກໍາຢູ່ໃນເຄື່ອງທີ່ແຕກຕ່າງກັນບ່ອນທີ່
ຄວາມແຕກຕ່າງເວລາລະຫວ່າງສອງເຄື່ອງຈັກແມ່ນເປັນທີ່ຮູ້ຈັກຫຼືສາມາດຄາດຄະເນໄດ້.
-ທ
ກໍານົດປະເພດການຫຸ້ມຫໍ່ແພັກເກັດຂອງໄຟລ໌ບັນທຶກຜົນຜະລິດ. ຖ້າ -T ທຸງຖືກໃຊ້
ເພື່ອລະບຸປະເພດ encapsulation, ປະເພດ encapsulation ຂອງໄຟລ໌ capture ຜົນຜະລິດ
ຈະຖືກບັງຄັບໃຫ້ປະເພດທີ່ກໍານົດໄວ້. editcap -T ສະຫນອງບັນຊີລາຍຊື່ຂອງທີ່ມີຢູ່
ປະເພດ. ປະເພດເລີ່ມຕົ້ນແມ່ນອັນໜຶ່ງທີ່ເໝາະສົມກັບປະເພດການຫຸ້ມຫໍ່ຂອງວັດສະດຸປ້ອນ
ບັນທຶກໄຟລ໌.
ຫມາຍເຫດ: ນີ້ພຽງແຕ່ບັງຄັບປະເພດ encapsulation ຂອງໄຟລ໌ຜົນຜະລິດເປັນລະບຸໄວ້
ປະເພດ; ສ່ວນຫົວຂອງແພັກເກັດຈະບໍ່ຖືກແປຈາກການຫຸ້ມຫໍ່
ປະເພດຂອງໄຟລ໌ capture input ກັບປະເພດ encapsulation ທີ່ກໍານົດໄວ້ (ສໍາລັບການຍົກຕົວຢ່າງ, ມັນ
ຈະບໍ່ແປ Ethernet capture ເປັນ FDDI capture ຖ້າເປັນ Ethernet capture
ອ່ານ ແລະ '-T fddi' ແມ່ນລະບຸໄວ້). ຖ້າທ່ານຕ້ອງການເອົາ / ເພີ່ມສ່ວນຫົວຈາກ / ໃສ່ຊຸດ,
ທ່ານຈະຕ້ອງການ od(1) /text2pcap(1).
-v ສາເຫດ editcap ເພື່ອພິມຂໍ້ຄວາມ verbose ໃນຂະນະທີ່ມັນເຮັດວຽກ.
ການ ນຳ ໃຊ້ -v ກັບ de-duplication switches ຂອງ -d, -D or -w ຈະເຮັດໃຫ້ເກີດ MD5 hashes ທັງຫມົດ
ຈະຖືກພິມອອກວ່າແພັກເກັດຖືກຂ້າມຫຼືບໍ່.
-V ພິມສະບັບແລະອອກ.
-ວ
ພະຍາຍາມເອົາແພັກເກັດທີ່ຊໍ້າກັນອອກ. ເວລາມາຮອດຂອງແພັກເກັດປັດຈຸບັນແມ່ນສົມທຽບກັນ
ກັບເຖິງ 1000000 ຊອງທີ່ຜ່ານມາ. ຖ້າເວລາມາຮອດຂອງແພັກເກັດແມ່ນ ຫນ້ອຍ
ກ່ວາ or ເທົ່າທຽມກັນ to ໄດ້ ຂອງແພັກເກັດທີ່ຜ່ານມາ ແລະຄວາມຍາວຂອງແພັກເກັດ ແລະ
MD5 hash ຂອງແພັກເກັດປະຈຸບັນແມ່ນຄືກັນ ຈາກນັ້ນແພັກເກັດທີ່ຈະຂ້າມໄປ. ຊໍ້າກັນ
ການທົດສອບການປຽບທຽບຢຸດເມື່ອເວລາມາຮອດຂອງແພັກເກັດປັດຈຸບັນແມ່ນຫຼາຍກວ່າ
.
ໄດ້ ຖືກກໍານົດເປັນ ວິນາທີ[.ເສດສ່ວນ ວິນາທີ].
ອົງປະກອບ [.fractional seconds] ສາມາດຖືກກໍານົດເປັນເກົ້າ (9) ຕໍາແໜ່ງທົດສະນິຍົມ
(ຫຼາຍຕື້ວິນາທີ) ແຕ່ໄຟລ໌ຕິດຕາມປົກກະຕິສ່ວນໃຫຍ່ມີຄວາມລະອຽດເຖິງຫົກ (6)
ຕໍາແໜ່ງທົດສະນິຍົມ (ລ້ານໆວິນາທີ).
ຫມາຍເຫດ: ກໍານົດຂະຫນາດໃຫຍ່ ຄ່າທີ່ມີ tracefiles ຂະຫນາດໃຫຍ່ສາມາດສົ່ງຜົນໃຫ້
ເວລາປຸງແຕ່ງຍາວຫຼາຍສໍາລັບ editcap.
ໝາຍ ເຫດ: The -w ທາງເລືອກສົມມຸດວ່າແພັກເກັດແມ່ນຢູ່ໃນລໍາດັບລໍາດັບ. ຖ້າ
packets ບໍ່ໄດ້ຢູ່ໃນລໍາດັບ chronological ຫຼັງຈາກນັ້ນ -w ທາງເລືອກການກໍາຈັດການຊໍ້າຊ້ອນອາດຈະບໍ່
ລະບຸບາງອັນຊໍ້າກັນ.
ຕົວຢ່າງ
ເພື່ອເບິ່ງລາຍລະອຽດເພີ່ມເຕີມຂອງທາງເລືອກໃນການໃຊ້:
editcap -h
ເພື່ອຫຍໍ້ໄຟລ໌ capture ໂດຍການຕັດແພັກເກັດຢູ່ທີ່ 64 bytes ແລະຂຽນເປັນ Sun
ການນໍາໃຊ້ໄຟລ໌ snoop:
editcap -s 64 -F snoop capture.pcap shortcapture.snoop
ເພື່ອລຶບແພັກເກັດ 1000 ອອກຈາກໄຟລ໌ capture ໃຊ້:
editcap capture.pcap sans1000.pcap 1000
ເພື່ອຈໍາກັດໄຟລ໌ capture ກັບແພັກເກັດຈາກຈໍານວນ 200 ຫາ 750 (ລວມ) ໃຊ້:
editcap -r capture.pcap small.pcap 200-750
ເພື່ອໃຫ້ໄດ້ຮັບແພັກເກັດທັງຫມົດຈາກຈໍານວນ 1-500 (ລວມ) ໃຊ້:
editcap -r capture.pcap first500.pcap 1-500
or
editcap capture.pcap first500.pcap 501-9999999
ເພື່ອຍົກເວັ້ນແພັກເກັດ 1, 5, 10 ຫາ 20 ແລະ 30 ຫາ 40 ຈາກໄຟລ໌ໃຫມ່ໃຫ້ໃຊ້:
editcap capture.pcap exclude.pcap 1 5 10-20 30-40
ເພື່ອເລືອກພຽງແຕ່ແພັກເກັດ 1, 5, 10 ຫາ 20 ແລະ 30 ຫາ 40 ສໍາລັບໄຟລ໌ໃຫມ່ໃຊ້:
editcap -r capture.pcap select.pcap 1 5 10-20 30-40
ເພື່ອເອົາແພັກເກັດທີ່ຊໍ້າກັນທີ່ເຫັນຢູ່ໃນສີ່ເຟຣມກ່ອນຫນ້າ, ໃຫ້ໃຊ້:
editcap -d capture.pcap dedup.pcap
ເພື່ອເອົາແພັກເກັດທີ່ຊໍ້າກັນທີ່ເຫັນພາຍໃນ 100 ເຟຣມກ່ອນ, ໃຫ້ໃຊ້:
editcap -D 101 capture.pcap dedup.pcap
ເພື່ອເອົາແພັກເກັດທີ່ຊໍ້າກັນທີ່ເຫັນ ເທົ່າທຽມກັນ to or ຫນ້ອຍ ກ່ວາ 1/10 ຂອງວິນາທີ:
editcap -w 0.1 capture.pcap dedup.pcap
ເພື່ອສະແດງ MD5 hash ສໍາລັບທຸກແພັກເກັດ (ແລະບໍ່ສ້າງໄຟລ໌ຜົນຜະລິດທີ່ແທ້ຈິງ):
editcap -v -D 0 capture.pcap /dev/null
ຫຼືໃນລະບົບ Windows
editcap -v -D 0 capture.pcap NUL
ເພື່ອເລື່ອນເວລາຂອງແຕ່ລະແພັກເກັດໄປຂ້າງໜ້າໂດຍ 3.0827 ວິນາທີ:
editcap -t 3.0827 capture.pcap adjusted.pcap
ເພື່ອຮັບປະກັນການສະແຕມເວລາທັງໝົດຢູ່ໃນລໍາດັບທີ່ເຄັ່ງຄັດ:
editcap -S 0 capture.pcap adjusted.pcap
ເພື່ອແນະນໍາ 5% ຄວາມຜິດພາດແບບສຸ່ມໃນໄຟລ໌ capture ການນໍາໃຊ້:
editcap -E 0.05 capture.pcap capture_error.pcap
ເພື່ອເອົາແທັບ vlan ອອກຈາກແພັກເກັດທັງໝົດພາຍໃນໄຟລ໌ Capsulated Ethernet, ໃຫ້ໃຊ້:
editcap -L -C 12:4 capture_vlan.pcap capture_no_vlan.pcap
ເພື່ອຕັດທັງສອງພື້ນທີ່ 10 byte ແລະ 20 byte ຈາກແພັກເກັດ 75 byte ຕໍ່ໄປນີ້ໃນອັນດຽວ.
ຜ່ານ, ໃຊ້ວິທີໃດນຶ່ງໃນ 8 ວິທີທີ່ເປັນໄປໄດ້ທີ່ໃຫ້ໄວ້ຂ້າງລຸ່ມນີ້:
<--------------------------- 75 ---------------------- ------->
--------+------+-----------------+----------------+-------- ----------+
| 5 | 10 | 15 | 20 | 25 |
--------+------+-----------------+----------------+-------- ----------+
1) editcap -C 5:10 -C -25:-20 capture.pcap chopped.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcap chopped.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcap chopped.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcap chopped.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcap chopped.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcap chopped.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcap chopped.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcap chopped.pcap
ເພື່ອເພີ່ມສະຕຣິງຄຳເຫັນໃສ່ 2 ເຟຣມການປ້ອນຂໍ້ມູນທຳອິດ, ໃຫ້ໃຊ້:
editcap -a "1:1st frame" -a 2:Second capture.pcap capture-comments.pcap
ໃຊ້ editcap ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net