editcap - ອອນລາຍໃນຄລາວ

ໂຄງການ:

NAME

editcap - ແກ້ໄຂ ແລະ/ຫຼື ແປຮູບແບບຂອງໄຟລ໌ capture

ສະຫຼຸບສັງລວມ

editcap [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [ຊົດເຊີຍ:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] infile outfile [ ແພັກເກັດ#[-ແພັກເກັດ#] ... ]

editcap -d | -D | -w [ -v ] [ -I ]
infile outfile

editcap [ -V ]

ລາຍລະອຽດ

ການແກ້ໄຂ ແມ່ນໂຄງການທີ່ອ່ານບາງແພັກເກັດທີ່ຖືກຈັບຈາກ infile,
ທາງເລືອກທີ່ຈະປ່ຽນພວກມັນດ້ວຍວິທີຕ່າງໆ ແລະຂຽນແພັກເກັດທີ່ເປັນຜົນມາຈາກການຈັບພາບ
outfile (ຫຼື outfiles).

ໂດຍຄ່າເລີ່ມຕົ້ນ, ມັນອ່ານແພັກເກັດທັງໝົດຈາກ infile ແລະຂຽນໃຫ້ເຂົາເຈົ້າກັບ outfile ໃນ pcap
ຮູບແບບໄຟລ໌.

ບັນຊີລາຍຊື່ທາງເລືອກຂອງຈໍານວນແພັກເກັດສາມາດໄດ້ຮັບການລະບຸໄວ້ໃນຫາງຄໍາສັ່ງ; ແພັກເກັດສ່ວນຕົວ
ຕົວ​ເລກ​ທີ່​ແຍກ​ອອກ​ໂດຍ​ຊ່ອງ​ຂາວ​ແລະ/ຫຼື​ໄລ​ຍະ​ຂອງ​ຈໍາ​ນວນ​ຊຸດ​ສາ​ມາດ​ໄດ້​ຮັບ​ການ​ລະ​ບຸ​ໄວ້​ເປັນ
ການເລີ່ມຕົ້ນ-ໃນຕອນທ້າຍ, ໂດຍອ້າງອີງໃສ່ແພັກເກັດທັງຫມົດຈາກ ການເລີ່ມຕົ້ນ to ໃນຕອນທ້າຍ. ໂດຍຄ່າເລີ່ມຕົ້ນຊຸດທີ່ເລືອກ
ກັບຕົວເລກເຫຼົ່ານັ້ນຈະ ບໍ່ ຖືກຂຽນໃສ່ໄຟລ໌ capture. ຖ້າ -r ທຸງ​ແມ່ນ​ໄດ້​ລະ​ບຸ​ໄວ້​,
ການເລືອກຊຸດທັງໝົດແມ່ນປີ້ນກັບກັນ; ໃນ​ກໍ​ລະ​ນີ​ນັ້ນ ພຽງແຕ່ ຊຸດທີ່ເລືອກຈະເປັນ
ຂຽນໃສ່ໄຟລ໌ capture.

ການແກ້ໄຂ ຍັງສາມາດຖືກນໍາໃຊ້ເພື່ອເອົາແພັກເກັດທີ່ຊ້ໍາກັນ. ທາງ​ເລືອກ​ທີ່​ແຕກ​ຕ່າງ​ກັນ​ຫຼາຍ (-d, -D
ແລະ -w) ຖືກໃຊ້ເພື່ອຄວບຄຸມປ່ອງຢ້ຽມແພັກເກັດຫຼືປ່ອງຢ້ຽມເວລາທີ່ກ່ຽວຂ້ອງທີ່ຈະໃຊ້ສໍາລັບ
ຊ້ໍາກັນການປຽບທຽບ.

ການແກ້ໄຂ ສາມາດໃຊ້ເພື່ອມອບໝາຍຂໍ້ຄິດເຫັນໃສ່ຕົວເລກກອບ.

ການແກ້ໄຂ ແມ່ນສາມາດກວດພົບ, ອ່ານແລະຂຽນໄຟລ໌ capture ດຽວກັນທີ່ໄດ້ຮັບການສະຫນັບສະຫນູນໂດຍ
Wireshark. ໄຟລ໌ປ້ອນຂໍ້ມູນບໍ່ຈໍາເປັນຕ້ອງມີການຂະຫຍາຍຊື່ໄຟລ໌ສະເພາະ; ຮູບ​ແບບ​ໄຟລ​໌​ແລະ​
ການບີບອັດ gzip ທາງເລືອກຈະຖືກກວດພົບໂດຍອັດຕະໂນມັດ. ຢູ່ໃກ້ກັບຈຸດເລີ່ມຕົ້ນຂອງ
ພາກສ່ວນລາຍລະອຽດຂອງ wireshark(1) ຫຼື
ເປັນ​ລາຍ​ລະ​ອຽດ​ຂອງ​
ວິທີການ Wireshark ຈັດການນີ້, ເຊິ່ງເປັນວິທີດຽວກັນ ການແກ້ໄຂ ຈັດການນີ້.

ການແກ້ໄຂ ສາມາດຂຽນໄຟລ໌ໃນຮູບແບບຜົນຜະລິດຫຼາຍ. ໄດ້ -F ທຸງສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດ
ຮູບແບບທີ່ຈະຂຽນໄຟລ໌ capture; editcap -F ສະຫນອງບັນຊີລາຍຊື່ຂອງທີ່ມີຢູ່
ຮູບແບບຜົນຜະລິດ.

OPTIONS

-ກ
ສໍາລັບຕົວເລກກອບສະເພາະ, ກໍານົດສະຕຣິງຄໍາເຫັນທີ່ໃຫ້. ສາມາດໄດ້ຮັບການຊ້ໍາສໍາລັບ
ຫຼາຍກອບ. ວົງຢືມຄວນຖືກໃຊ້ກັບສະຕຣິງຄຳເຫັນທີ່ຮວມເອົາຍະຫວ່າງ.

-ກ
ບັນທຶກສະເພາະແພັກເກັດທີ່ເວລາມີຢູ່ ຫຼືຫຼັງຈາກເວລາເລີ່ມຕົ້ນ. ເວລາແມ່ນໃຫ້
ໃນຮູບແບບຕໍ່ໄປນີ້ YYYY-MM-DD HH:MM:SS

- ຂ
ບັນທຶກສະເພາະແພັກເກັດທີ່ເວລາແມ່ນກ່ອນເວລາຢຸດ. ເວລາແມ່ນໃຫ້ຢູ່ໃນ
ຮູບແບບຕໍ່ໄປນີ້ YYYY-MM-DD HH:MM:SS

-ຄ
ແຍກແພັກເກັດຜົນຜະລິດອອກເປັນໄຟລ໌ທີ່ແຕກຕ່າງກັນໂດຍອີງໃສ່ການນັບຊອງເອກະພາບກັບ a
ສູງສຸດຂອງ ແຕ່ລະ. ແຕ່ລະໄຟລ໌ຜົນຜະລິດຈະຖືກສ້າງຂຶ້ນດ້ວຍຄໍາຕໍ່ທ້າຍ
-nnnn, ເລີ່ມຕົ້ນດ້ວຍ 00000. ຖ້າຈໍານວນແພັກເກັດທີ່ລະບຸໄວ້ຈະຖືກຂຽນໃສ່
ໄຟລ໌ຜົນຜະລິດ, ໄຟລ໌ຜົນຜະລິດຕໍ່ໄປແມ່ນເປີດ. ຄ່າເລີ່ມຕົ້ນແມ່ນການນໍາໃຊ້ຜົນຜະລິດດຽວ
ຍື່ນ.

-C [ຊົດເຊີຍ:]
ກໍານົດຄວາມຍາວຂອງຟັກເພື່ອໃຊ້ໃນເວລາຂຽນຂໍ້ມູນແພັກເກັດ. ແຕ່ລະຊອງແມ່ນຟັກໂດຍ
bytes ຂອງຂໍ້ມູນ. ຄ່າທາງບວກຕັດຢູ່ທີ່ແພັກເກັດເລີ່ມຕົ້ນໃນຂະນະທີ່ເປັນຄ່າລົບ
ຄ່າຟັກຢູ່ປາຍຊອງ.

ຖ້າການຊົດເຊີຍທາງເລືອກກ່ອນຫນ້າ , ຫຼັງຈາກນັ້ນ bytes ຟັກຈະຖືກຊົດເຊີຍ
ຈາກມູນຄ່ານັ້ນ. ການຊົດເຊີຍທາງບວກແມ່ນມາຈາກຊຸດເລີ່ມຕົ້ນ, ໃນຂະນະທີ່ເປັນລົບ
offsets ແມ່ນມາຈາກປາຍຊອງ.

ນີ້ແມ່ນເປັນປະໂຫຍດສໍາລັບການຟັກ headers ສໍາລັບ decapsulation ຂອງ capture ທັງຫມົດ, ຖອດອອກ
tunneling headers, ຫຼືໃນກໍລະນີທີ່ຫາຍາກທີ່ແປງລະຫວ່າງສອງຮູບແບບໄຟລ໌
ປ່ອຍບາງໄບຕ໌ສຸ່ມຢູ່ໃນຕອນທ້າຍຂອງແຕ່ລະແພັກເກັດ. ການນໍາໃຊ້ອີກອັນຫນຶ່ງແມ່ນສໍາລັບການຖອນ vlan
ແທັກ.

ຫມາຍ​ເຫດ​: ທາງ​ເລືອກ​ນີ້​ສາ​ມາດ​ໄດ້​ຮັບ​ການ​ນໍາ​ໃຊ້​ຫຼາຍ​ກ​່​ວາ​ຫນຶ່ງ​ຄັ້ງ​, ປະ​ສິດ​ທິ​ຜົນ​ໃຫ້​ທ່ານ​ເພື່ອ​ຟັກ bytes​
ຈາກຫຼາຍເຖິງສອງພື້ນທີ່ທີ່ແຕກຕ່າງກັນຂອງແພັກເກັດໃນໃບຜ່ານດຽວທີ່ໃຫ້ທ່ານລະບຸ
ຢ່າງຫນ້ອຍຫນຶ່ງຕັດຄວາມຍາວເປັນຄ່າບວກແລະຢ່າງຫນ້ອຍຫນຶ່ງເປັນຄ່າລົບ.
ຄວາມຍາວຂອງຟັກບວກທັງໝົດແມ່ນລວມເຂົ້າກັນເປັນຄວາມຍາວຟັກລົບທັງໝົດ.

-d ຄວາມພະຍາຍາມທີ່ຈະເອົາແພັກເກັດທີ່ຊໍ້າກັນ. ຄວາມຍາວ ແລະ MD5 hash ຂອງແພັກເກັດປັດຈຸບັນ
ປຽບທຽບກັບສີ່ຊຸດ (4) ທີ່ຜ່ານມາ. ຖ້າພົບການແຂ່ງຂັນ, ປະຈຸບັນ
ແພັກເກັດຖືກຂ້າມ. ຕົວເລືອກນີ້ແມ່ນເທົ່າກັບການໃຊ້ທາງເລືອກ -D 5.

-D
ພະຍາຍາມເອົາແພັກເກັດທີ່ຊໍ້າກັນອອກ. ຄວາມຍາວ ແລະ MD5 hash ຂອງແພັກເກັດປັດຈຸບັນ
ເມື່ອປຽບທຽບກັບທີ່ຜ່ານມາ - 1 ຊອງ. ຖ້າພົບການແຂ່ງຂັນ, ໄດ້
ແພັກເກັດປະຈຸບັນຖືກຂ້າມ.

ການນໍາໃຊ້ທາງເລືອກ -D 0 ລວມມີ -v ທາງເລືອກແມ່ນເປັນປະໂຫຍດໃນແຕ່ລະຊຸດຂອງ
ໝາຍເລກແພັກເກັດ, Len ແລະ MD5 Hash ຈະຖືກພິມອອກເປັນມາດຕະຖານ. ຜົນຜະລິດ verbose ນີ້
(ໂດຍສະເພາະ MD5 hash strings) ສາມາດເປັນປະໂຫຍດໃນສະຄຣິບເພື່ອລະບຸການຊໍ້າກັນ
ແພັກເກັດໃນທົ່ວໄຟລ໌ຕິດຕາມ.

ໄດ້ ຖືກກໍານົດເປັນຈໍານວນເຕັມລະຫວ່າງ 0 ແລະ 1000000 (ລວມ).

ຫມາຍເຫດ: ກໍານົດຂະຫນາດໃຫຍ່ ຄ່າທີ່ມີ tracefiles ຂະຫນາດໃຫຍ່ສາມາດສົ່ງຜົນໃຫ້ຫຼາຍ
ເວລາປຸງແຕ່ງຍາວສໍາລັບ editcap.

- ອ
ກໍານົດຄວາມເປັນໄປໄດ້ວ່າ bytes ໃນໄຟລ໌ຜົນຜະລິດໄດ້ຖືກປ່ຽນແປງແບບສຸ່ມ. ການແກ້ໄຂ ການນໍາໃຊ້
ຄວາມເປັນໄປໄດ້ນັ້ນ (ລະຫວ່າງ 0.0 ແລະ 1.0 ຮວມ) ເພື່ອນຳໃຊ້ຂໍ້ຜິດພາດກັບແຕ່ລະ byte ຂໍ້ມູນໃນ
ໄຟລ໌. ຕົວຢ່າງ, ຄວາມເປັນໄປໄດ້ຂອງ 0.02 ຫມາຍຄວາມວ່າແຕ່ລະ byte ມີໂອກາດ 2%.
ມີ​ຄວາມ​ຜິດ​ພາດ​.

ຕົວເລືອກນີ້ຫມາຍເຖິງການຖືກນໍາໃຊ້ສໍາລັບ fuzz-testing protocol dissectors.

-F
ກໍານົດຮູບແບບໄຟລ໌ຂອງໄຟລ໌ capture ຜົນຜະລິດ. ການແກ້ໄຂ ສາມາດຂຽນໄຟລ໌ໃນ
ຫຼາຍ​ຮູບ​ແບບ​, editcap -F ໃຫ້ບັນຊີລາຍຊື່ຂອງຮູບແບບຜົນຜະລິດທີ່ມີຢູ່. ໄດ້
ຄ່າເລີ່ມຕົ້ນແມ່ນ pcap ຮູບແບບ.

-h ພິມສະບັບແລະທາງເລືອກແລະອອກ.

-i
ແຍກຜົນຜະລິດແພັກເກັດເປັນໄຟລ໌ທີ່ແຕກຕ່າງກັນໂດຍອີງໃສ່ຊ່ວງເວລາທີ່ເປັນເອກະພາບໂດຍໃຊ້ a
ໄລຍະຫ່າງສູງສຸດຂອງ ແຕ່ລະ. ແຕ່ລະໄຟລ໌ຜົນຜະລິດຈະຖືກສ້າງຂື້ນດ້ວຍ a
suffix -nnnnnn, ເລີ່ມຈາກ 00000. ຖ້າແພັກເກັດສໍາລັບຊ່ວງເວລາທີ່ກໍານົດໄວ້ແມ່ນ
ຂຽນໃສ່ໄຟລ໌ຜົນຜະລິດ, ໄຟລ໌ຜົນຜະລິດຕໍ່ໄປແມ່ນເປີດ. ຄ່າເລີ່ມຕົ້ນແມ່ນໃຊ້ a
ໄຟລ໌ຜົນຜະລິດດຽວ.

-I
ບໍ່ສົນໃຈຕົວເລກໄບຕ໌ທີ່ລະບຸໄວ້ໃນຕອນຕົ້ນຂອງເຟຣມໃນລະຫວ່າງ MD5 hash
ການຄຳນວນ ເປັນປະໂຫຍດທີ່ຈະເອົາແພັກເກັດທີ່ຊ້ຳກັນເອົາຢູ່ໃນ routers ຫຼາຍອັນ(ແຕກຕ່າງກັນ
mac addresses) ຕົວຢ່າງ: -I 26 ໃນກໍລະນີຂອງ Ether/IP/ ຈະບໍ່ສົນໃຈ ether(14) ແລະ
ສ່ວນຫົວ IP(20 - 4(src ip) - 4(dst ip)). ຄ່າເລີ່ມຕົ້ນແມ່ນ 0.

-L ປັບ​ຄວາມ​ຍາວ​ຂອງ​ກອບ​ຕົ້ນ​ສະ​ບັບ​ຕາມ​ຄວາມ​ເຫມາະ​ສົມ​ໃນ​ເວ​ລາ​ທີ່​ການ​ຕັດ​ແລະ / ຫຼື snapping (ໃນ​
ນອກ ເໜືອ ໄປຈາກຄວາມຍາວທີ່ຈັບໄດ້, ເຊິ່ງຖືກປັບສະ ເໝີ ບໍ່ວ່າ -L is
ລະບຸ ຫຼື ບໍ່). ເບິ່ງນຳ -C <choplen> ແລະ -s <snaplen>.

-o
ເມື່ອໃຊ້ໃນການສົມທົບກັບ -E, ໃຫ້ຂ້າມບາງ bytes ຈາກຈຸດເລີ່ມຕົ້ນຂອງແພັກເກັດຈາກ
ກໍາລັງປ່ຽນແປງ. ດ້ວຍວິທີນີ້ບາງຫົວບໍ່ມີການປ່ຽນແປງ, ແລະ fuzzer ແມ່ນຫຼາຍກວ່າ
ເນັ້ນໃສ່ສ່ວນນ້ອຍໆຂອງຊຸດ. ການຮັກສາສ່ວນຫນຶ່ງຂອງຊຸດໄດ້ຖືກແກ້ໄຂຄືກັນ
dissector ແມ່ນ triggered, ທີ່ເຮັດໃຫ້ fuzzing ຊັດເຈນຫຼາຍ.

-r ປີ້ນການເລືອກແພັກເກັດ. ເຮັດໃຫ້ແພັກເກັດທີ່ມີເລກແພັກເກັດຖືກລະບຸໄວ້
ໃນເສັ້ນຄໍາສັ່ງທີ່ຈະຂຽນໃສ່ໄຟລ໌ capture ຜົນຜະລິດ, ແທນທີ່ຈະຍົກເລີກ
ໃຫ້ເຂົາເຈົ້າ.

-s
ກຳນົດຄວາມຍາວຂອງພາບຖ່າຍທີ່ຈະໃຊ້ໃນເວລາຂຽນຂໍ້ມູນ. ຖ້າ -s ທຸງແມ່ນໃຊ້ເພື່ອ
ລະ​ບຸ​ຄວາມ​ຍາວ​ຂອງ snapshot ເປັນ, packets ໃນ​ໄຟລ​໌​ປ້ອນ​ຂໍ້​ມູນ​ທີ່​ມີ​ຂໍ້​ມູນ captured ຫຼາຍ​ກ​່​ວາ
ຄວາມຍາວຂອງ snapshot ທີ່ລະບຸຈະມີພຽງແຕ່ຈໍານວນຂໍ້ມູນທີ່ລະບຸໂດຍ snapshot
ຄວາມຍາວທີ່ຂຽນໃສ່ໄຟລ໌ຜົນຜະລິດ.

ນີ້ອາດຈະເປັນປະໂຫຍດຖ້າຫາກວ່າໂຄງການທີ່ຈະອ່ານໄຟລ໌ຜົນຜະລິດບໍ່ສາມາດຈັດການໄດ້
packets ໃຫຍ່ກວ່າຂະຫນາດທີ່ແນ່ນອນ (ຕົວຢ່າງ, ສະບັບຂອງ snoop ໃນ Solaris
2.5.1 ແລະ Solaris 2.6 ປະກົດວ່າປະຕິເສດແພັກເກັດອີເທີເນັດທີ່ໃຫຍ່ກວ່າມາດຕະຖານ
Ethernet MTU, ເຮັດໃຫ້ພວກເຂົາບໍ່ສາມາດຈັດການ gigabit Ethernet captures ຖ້າ jumbo
packets ໄດ້ຖືກນໍາໃຊ້).

-ສ
ເວລາປັບແພັກເກັດທີ່ເລືອກເພື່ອຮັບປະກັນຄໍາສັ່ງຕາມລໍາດັບທີ່ເຄັ່ງຄັດ.

ໄດ້ ຄ່າເປັນຕົວແທນຂອງວິນາທີທີ່ກ່ຽວຂ້ອງລະບຸເປັນ
[-]ວິນາທີ[.ເສດສ່ວນ ວິນາທີ].

ເມື່ອໄຟລ໌ capture ໄດ້ຖືກປຸງແຕ່ງ, ແຕ່ລະຊຸດທີ່ໃຊ້ເວລາຢ່າງແທ້ຈິງແມ່ນ ອາດຈະເປັນ ປັບໃຫ້ເຂົ້າກັບ
ເທົ່າກັບ ຫຼືໃຫຍ່ກວ່າເວລາອັນແນ່ນອນຂອງແພັກເກັດທີ່ຜ່ານມາ ຂຶ້ນກັບ
ຄ່າ.

ຖ້າ ຄ່າແມ່ນ 0 ຫຼືຫຼາຍກວ່ານັ້ນ (ເຊັ່ນ: 0.000001) ຈາກນັ້ນ ພຽງແຕ່ ຊອງ
ດ້ວຍການສະແຕມເວລາໜ້ອຍກວ່າແພັກເກັດທີ່ຜ່ານມາຈະຖືກປັບ. ສະແຕມເວລາປັບ
ຄ່າຈະຖືກຕັ້ງໃຫ້ເທົ່າກັບຄ່າເວລາຂອງແພັກເກັດທີ່ຜ່ານມາບວກກັບ
ມູນຄ່າຂອງ ຄ່າ. ກ ມູນຄ່າ 0
ຈະປັບຕົວເລກຕໍາ່ສຸດທີ່ຂອງຄ່າເວລາທີ່ຈໍາເປັນເພື່ອຮັບປະກັນວ່າ
ໄຟລ໌ capture ຜົນໄດ້ຮັບແມ່ນຢູ່ໃນລໍາດັບ chronological ທີ່ເຄັ່ງຄັດ.

ຖ້າ ຄ່າແມ່ນລະບຸເປັນຄ່າລົບ, ຈາກນັ້ນສະແຕມເວລາ
ຄຸນຄ່າຂອງ ທັງຫມົດ ແພັກເກັດຈະຖືກປັບໃຫ້ເທົ່າກັບຄ່າເວລາຂອງ
ແພັກເກັດທີ່ຜ່ານມາບວກກັບຄ່າຢ່າງແທ້ຈິງຂອງ ການ​ປັບ​ປຸງ​ທີ່​ໃຊ້​ເວ​ລາ​ຢ່າງ​ເຂັ້ມ​ງວດ​ ຄ່າ. ກ
ຄ່າຂອງ -0 ຈະສົ່ງຜົນໃຫ້ແພັກເກັດທັງໝົດມີການສະແຕມເວລາ
ມູນຄ່າຂອງຊຸດທໍາອິດ.

ຄຸນສົມບັດນີ້ແມ່ນເປັນປະໂຫຍດເມື່ອໄຟລ໌ຕິດຕາມມີແພັກເກັດເປັນບາງຄັ້ງຄາວທີ່ມີຄ່າລົບ
ເວລາ delta ທຽບກັບແພັກເກັດທີ່ຜ່ານມາ.

-t
ຕັ້ງຄ່າການປັບເວລາເພື່ອໃຊ້ໃນແພັກເກັດທີ່ເລືອກ. ຖ້າ -t ທຸງແມ່ນໃຊ້ເພື່ອ
ກໍານົດການປັບເວລາ, ການປັບທີ່ລະບຸຈະຖືກນໍາໃຊ້ກັບທັງຫມົດທີ່ເລືອກ
packets ໃນໄຟລ໌ capture. ການ​ປັບ​ປຸງ​ແມ່ນ​ລະ​ບຸ​ໄວ້​ເປັນ [-​]ວິນາທີ[.ເສດສ່ວນ
ວິນາທີ]. ຍົກ​ຕົວ​ຢ່າງ, -t 3600 ເລື່ອນເວລາໃສ່ແພັກເກັດທີ່ເລືອກໂດຍໜຶ່ງຊົ່ວໂມງ
ໃນຂະນະທີ່ -t -0.5 ຫຼຸດເວລາໃສ່ແພັກເກັດທີ່ເລືອກໂດຍເຄິ່ງວິນາທີ.

ຄຸນນະສົມບັດນີ້ແມ່ນເປັນປະໂຫຍດໃນເວລາທີ່ synchronizing dumps ເກັບກໍາຢູ່ໃນເຄື່ອງທີ່ແຕກຕ່າງກັນບ່ອນທີ່
ຄວາມແຕກຕ່າງເວລາລະຫວ່າງສອງເຄື່ອງຈັກແມ່ນເປັນທີ່ຮູ້ຈັກຫຼືສາມາດຄາດຄະເນໄດ້.

-ທ
ກໍານົດປະເພດການຫຸ້ມຫໍ່ແພັກເກັດຂອງໄຟລ໌ບັນທຶກຜົນຜະລິດ. ຖ້າ -T ທຸງຖືກໃຊ້
ເພື່ອລະບຸປະເພດ encapsulation, ປະເພດ encapsulation ຂອງໄຟລ໌ capture ຜົນຜະລິດ
ຈະຖືກບັງຄັບໃຫ້ປະເພດທີ່ກໍານົດໄວ້. editcap -T ສະຫນອງບັນຊີລາຍຊື່ຂອງທີ່ມີຢູ່
ປະເພດ. ປະເພດເລີ່ມຕົ້ນແມ່ນອັນໜຶ່ງທີ່ເໝາະສົມກັບປະເພດການຫຸ້ມຫໍ່ຂອງວັດສະດຸປ້ອນ
ບັນທຶກໄຟລ໌.

ຫມາຍ​ເຫດ​: ນີ້​ພຽງ​ແຕ່​ບັງ​ຄັບ​ປະ​ເພດ encapsulation ຂອງ​ໄຟລ​໌​ຜົນ​ຜະ​ລິດ​ເປັນ​ລະ​ບຸ​ໄວ້​
ປະເພດ; ສ່ວນຫົວຂອງແພັກເກັດຈະບໍ່ຖືກແປຈາກການຫຸ້ມຫໍ່
ປະ​ເພດ​ຂອງ​ໄຟລ​໌ capture input ກັບ​ປະ​ເພດ encapsulation ທີ່​ກໍາ​ນົດ​ໄວ້ (ສໍາ​ລັບ​ການ​ຍົກ​ຕົວ​ຢ່າງ​, ມັນ​
ຈະບໍ່ແປ Ethernet capture ເປັນ FDDI capture ຖ້າເປັນ Ethernet capture
ອ່ານ ແລະ '-T fddi' ແມ່ນ​ລະ​ບຸ​ໄວ້​)​. ຖ້າທ່ານຕ້ອງການເອົາ / ເພີ່ມສ່ວນຫົວຈາກ / ໃສ່ຊຸດ,
ທ່ານຈະຕ້ອງການ od(1) /text2pcap(1).

-v ສາເຫດ editcap ເພື່ອພິມຂໍ້ຄວາມ verbose ໃນຂະນະທີ່ມັນເຮັດວຽກ.

ການ ນຳ ໃຊ້ -v ກັບ de-duplication switches ຂອງ -d, -D or -w ຈະເຮັດໃຫ້ເກີດ MD5 hashes ທັງຫມົດ
ຈະຖືກພິມອອກວ່າແພັກເກັດຖືກຂ້າມຫຼືບໍ່.

-V ພິມ​ສະ​ບັບ​ແລະ​ອອກ​.

-ວ
ພະຍາຍາມເອົາແພັກເກັດທີ່ຊໍ້າກັນອອກ. ເວລາມາຮອດຂອງແພັກເກັດປັດຈຸບັນແມ່ນສົມທຽບກັນ
ກັບເຖິງ 1000000 ຊອງທີ່ຜ່ານມາ. ຖ້າເວລາມາຮອດຂອງແພັກເກັດແມ່ນ ຫນ້ອຍ
ກ່ວາ or ເທົ່າທຽມກັນ to ໄດ້ ຂອງແພັກເກັດທີ່ຜ່ານມາ ແລະຄວາມຍາວຂອງແພັກເກັດ ແລະ
MD5 hash ຂອງແພັກເກັດປະຈຸບັນແມ່ນຄືກັນ ຈາກນັ້ນແພັກເກັດທີ່ຈະຂ້າມໄປ. ຊໍ້າກັນ
ການທົດສອບການປຽບທຽບຢຸດເມື່ອເວລາມາຮອດຂອງແພັກເກັດປັດຈຸບັນແມ່ນຫຼາຍກວ່າ
.

ໄດ້ ຖືກກໍານົດເປັນ ວິນາທີ[.ເສດສ່ວນ ວິນາທີ].

ອົງປະກອບ [.fractional seconds] ສາມາດຖືກກໍານົດເປັນເກົ້າ (9) ຕໍາແໜ່ງທົດສະນິຍົມ
(ຫຼາຍຕື້ວິນາທີ) ແຕ່ໄຟລ໌ຕິດຕາມປົກກະຕິສ່ວນໃຫຍ່ມີຄວາມລະອຽດເຖິງຫົກ (6)
ຕໍາແໜ່ງທົດສະນິຍົມ (ລ້ານໆວິນາທີ).

ຫມາຍເຫດ: ກໍານົດຂະຫນາດໃຫຍ່ ຄ່າທີ່ມີ tracefiles ຂະຫນາດໃຫຍ່ສາມາດສົ່ງຜົນໃຫ້
ເວລາປຸງແຕ່ງຍາວຫຼາຍສໍາລັບ editcap.

ໝາຍ ເຫດ: The -w ທາງເລືອກສົມມຸດວ່າແພັກເກັດແມ່ນຢູ່ໃນລໍາດັບລໍາດັບ. ຖ້າ
packets ບໍ່ໄດ້ຢູ່ໃນລໍາດັບ chronological ຫຼັງຈາກນັ້ນ -w ທາງເລືອກການກໍາຈັດການຊໍ້າຊ້ອນອາດຈະບໍ່
ລະບຸບາງອັນຊໍ້າກັນ.

ຕົວຢ່າງ

ເພື່ອເບິ່ງລາຍລະອຽດເພີ່ມເຕີມຂອງທາງເລືອກໃນການໃຊ້:

editcap -h

ເພື່ອຫຍໍ້ໄຟລ໌ capture ໂດຍການຕັດແພັກເກັດຢູ່ທີ່ 64 bytes ແລະຂຽນເປັນ Sun
ການ​ນໍາ​ໃຊ້​ໄຟລ​໌ snoop​:

editcap -s 64 -F snoop capture.pcap shortcapture.snoop

ເພື່ອລຶບແພັກເກັດ 1000 ອອກຈາກໄຟລ໌ capture ໃຊ້:

editcap capture.pcap sans1000.pcap 1000

ເພື່ອຈໍາກັດໄຟລ໌ capture ກັບແພັກເກັດຈາກຈໍານວນ 200 ຫາ 750 (ລວມ) ໃຊ້:

editcap -r capture.pcap small.pcap 200-750

ເພື່ອໃຫ້ໄດ້ຮັບແພັກເກັດທັງຫມົດຈາກຈໍານວນ 1-500 (ລວມ) ໃຊ້:

editcap -r capture.pcap first500.pcap 1-500

or

editcap capture.pcap first500.pcap 501-9999999

ເພື່ອຍົກເວັ້ນແພັກເກັດ 1, 5, 10 ຫາ 20 ແລະ 30 ຫາ 40 ຈາກໄຟລ໌ໃຫມ່ໃຫ້ໃຊ້:

editcap capture.pcap exclude.pcap 1 5 10-20 30-40

ເພື່ອເລືອກພຽງແຕ່ແພັກເກັດ 1, 5, 10 ຫາ 20 ແລະ 30 ຫາ 40 ສໍາລັບໄຟລ໌ໃຫມ່ໃຊ້:

editcap -r capture.pcap select.pcap 1 5 10-20 30-40

ເພື່ອເອົາແພັກເກັດທີ່ຊໍ້າກັນທີ່ເຫັນຢູ່ໃນສີ່ເຟຣມກ່ອນຫນ້າ, ໃຫ້ໃຊ້:

editcap -d capture.pcap dedup.pcap

ເພື່ອເອົາແພັກເກັດທີ່ຊໍ້າກັນທີ່ເຫັນພາຍໃນ 100 ເຟຣມກ່ອນ, ໃຫ້ໃຊ້:

editcap -D 101 capture.pcap dedup.pcap

ເພື່ອເອົາແພັກເກັດທີ່ຊໍ້າກັນທີ່ເຫັນ ເທົ່າທຽມກັນ to or ຫນ້ອຍ ກ່ວາ 1/10 ຂອງວິນາທີ:

editcap -w 0.1 capture.pcap dedup.pcap

ເພື່ອສະແດງ MD5 hash ສໍາລັບທຸກແພັກເກັດ (ແລະບໍ່ສ້າງໄຟລ໌ຜົນຜະລິດທີ່ແທ້ຈິງ):

editcap -v -D 0 capture.pcap /dev/null

ຫຼືໃນລະບົບ Windows

editcap -v -D 0 capture.pcap NUL

ເພື່ອເລື່ອນເວລາຂອງແຕ່ລະແພັກເກັດໄປຂ້າງໜ້າໂດຍ 3.0827 ວິນາທີ:

editcap -t 3.0827 capture.pcap adjusted.pcap

ເພື່ອຮັບປະກັນການສະແຕມເວລາທັງໝົດຢູ່ໃນລໍາດັບທີ່ເຄັ່ງຄັດ:

editcap -S 0 capture.pcap adjusted.pcap

ເພື່ອແນະນໍາ 5% ຄວາມຜິດພາດແບບສຸ່ມໃນໄຟລ໌ capture ການນໍາໃຊ້:

editcap -E 0.05 capture.pcap capture_error.pcap

ເພື່ອເອົາແທັບ vlan ອອກຈາກແພັກເກັດທັງໝົດພາຍໃນໄຟລ໌ Capsulated Ethernet, ໃຫ້ໃຊ້:

editcap -L -C 12:4 capture_vlan.pcap capture_no_vlan.pcap

ເພື່ອຕັດທັງສອງພື້ນທີ່ 10 byte ແລະ 20 byte ຈາກແພັກເກັດ 75 byte ຕໍ່ໄປນີ້ໃນອັນດຽວ.
ຜ່ານ, ໃຊ້ວິທີໃດນຶ່ງໃນ 8 ວິທີທີ່ເປັນໄປໄດ້ທີ່ໃຫ້ໄວ້ຂ້າງລຸ່ມນີ້:

<--------------------------- 75 ---------------------- ------->

--------+------+-----------------+----------------+-------- ----------+
| 5 | 10 | 15 | 20 | 25 |
--------+------+-----------------+----------------+-------- ----------+

1) editcap -C 5:10 -C -25:-20 capture.pcap chopped.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcap chopped.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcap chopped.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcap chopped.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcap chopped.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcap chopped.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcap chopped.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcap chopped.pcap

ເພື່ອເພີ່ມສະຕຣິງຄຳເຫັນໃສ່ 2 ເຟຣມການປ້ອນຂໍ້ມູນທຳອິດ, ໃຫ້ໃຊ້:

editcap -a "1:1st frame" -a 2:Second capture.pcap capture-comments.pcap

ໃຊ້ editcap ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net