Ini ialah perintah editcap yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
editcap - Edit dan/atau terjemah format tangkapan fail
SINOPSIS
editcap [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [offset:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] dalam fail fail luar [ paket#[-paket#] ... ]
editcap -d | -D | -w [ -v ] [ -I ]
dalam fail fail luar
editcap [ -V ]
DESCRIPTION
Editcap ialah program yang membaca beberapa atau semua paket yang ditangkap daripada dalam fail,
secara pilihan menukarnya dalam pelbagai cara dan menulis paket yang terhasil ke tangkapan
fail luar (atau fail luar).
Secara lalai, ia membaca semua paket daripada dalam fail dan menulisnya kepada fail luar dalam pcap
format fail.
Senarai pilihan nombor paket boleh ditentukan pada ekor arahan; paket individu
nombor yang dipisahkan oleh ruang putih dan/atau julat nombor paket boleh ditentukan sebagai
permulaan-akhir, merujuk kepada semua paket daripada permulaan kepada akhir. Secara lalai paket yang dipilih
dengan nombor tersebut akan tidak ditulis pada fail tangkapan. Sekiranya -r bendera ditentukan,
keseluruhan pemilihan paket diterbalikkan; kalau macam itu hanyalah paket yang dipilih akan menjadi
ditulis pada fail tangkapan.
Editcap juga boleh digunakan untuk mengeluarkan paket pendua. Beberapa pilihan yang berbeza (-d, -D
and -w) digunakan untuk mengawal tetingkap paket atau tetingkap masa relatif untuk digunakan
perbandingan pendua.
Editcap boleh digunakan untuk menetapkan rentetan ulasan kepada nombor bingkai.
Editcap dapat mengesan, membaca dan menulis fail tangkapan yang sama yang disokong oleh
Wireshark. Fail input tidak memerlukan sambungan nama fail tertentu; format fail dan
pemampatan gzip pilihan akan dikesan secara automatik. Berhampiran permulaan
bahagian HURAIAN daripada wireshark(1) atau
ialah penerangan terperinci tentang
cara Wireshark mengendalikan ini, iaitu dengan cara yang sama Editcap mengendalikan ini.
Editcap boleh menulis fail dalam beberapa format output. The -F bendera boleh digunakan untuk menentukan
format untuk menulis fail tangkapan; editcap -F menyediakan senarai yang tersedia
format output.
PILIHAN
-a
Untuk nombor bingkai yang ditentukan, tetapkan rentetan ulasan yang diberikan. Boleh diulang untuk
berbilang bingkai. Petikan hendaklah digunakan dengan rentetan ulasan yang merangkumi ruang.
-A
Hanya menyimpan paket yang cap masanya dihidupkan atau selepas masa mula. Masa diberi
dalam format berikut YYYY-MM-DD HH:MM:SS
-B
Menyimpan hanya paket yang cap masanya sebelum masa berhenti. Masa diberikan dalam
format berikut YYYY-MM-DD HH:MM:SS
-c
Pisahkan output paket kepada fail berbeza berdasarkan kiraan paket seragam dengan a
maksimum daripada setiap satu. Setiap fail output akan dibuat dengan akhiran
-nnnnn, bermula dengan 00000. Jika bilangan paket yang dinyatakan ditulis ke
fail output, fail output seterusnya dibuka. Lalai adalah menggunakan satu output
fail.
-C [mengimbangi:]
Tetapkan panjang potong untuk digunakan semasa menulis data paket. Setiap paket dicincang oleh
bait data. Nilai positif dicincang pada paket bermula manakala negatif
cincang nilai pada hujung paket.
Jika offset pilihan mendahului , maka bait yang dicincang akan diimbangi
daripada nilai tersebut. Offset positif adalah dari permulaan paket, manakala negatif
offset adalah dari hujung paket.
Ini berguna untuk memotong tajuk untuk penyahkapsulan keseluruhan tangkapan, mengalih keluar
pengepala terowong, atau dalam kes yang jarang berlaku bahawa penukaran antara dua format fail
meninggalkan beberapa bait rawak pada akhir setiap paket. Kegunaan lain adalah untuk mengeluarkan vlan
tags.
NOTA: Pilihan ini boleh digunakan lebih daripada sekali, dengan berkesan membolehkan anda memotong bait
daripada sehingga dua kawasan berbeza satu paket dalam satu pas dengan syarat anda tentukan
sekurang-kurangnya satu panjang chop sebagai nilai positif dan sekurang-kurangnya satu sebagai nilai negatif.
Semua panjang potong positif ditambah bersama-sama seperti semua panjang potong negatif.
-d Percubaan untuk mengalih keluar paket pendua. Panjang dan cincang MD5 bagi paket semasa
dibandingkan dengan empat (4) paket sebelumnya. Jika perlawanan ditemui, arus
paket dilangkau. Pilihan ini bersamaan dengan menggunakan pilihan -D 5.
-D
Percubaan untuk mengeluarkan paket pendua. Panjang dan cincang MD5 bagi paket semasa
dibandingkan dengan sebelumnya - 1 peket. Jika perlawanan ditemui, yang
paket semasa dilangkau.
Penggunaan pilihan -D 0 digabungkan dengan -v pilihan adalah berguna dalam setiap paket
Nombor paket, Len dan MD5 Hash akan dicetak mengikut standard keluar. Keluaran verbose ini
(khususnya rentetan cincang MD5) boleh berguna dalam skrip untuk mengenal pasti pendua
paket merentasi fail surih.
The ditentukan sebagai nilai integer antara 0 dan 1000000 (termasuk).
NOTA: Menentukan besar nilai dengan fail surih yang besar boleh mengakibatkan sangat
masa pemprosesan yang lama untuk editcap.
-E
Menetapkan kebarangkalian bahawa bait dalam fail output ditukar secara rawak. Editcap menggunakan
kebarangkalian itu (antara 0.0 dan 1.0 termasuk) untuk menggunakan ralat pada setiap bait data dalam
fail. Sebagai contoh, kebarangkalian 0.02 bermakna setiap bait mempunyai peluang 2%.
mengalami kesilapan.
Pilihan ini dimaksudkan untuk digunakan untuk pembahagi protokol ujian fuzz.
-F
Menetapkan format fail fail tangkapan output. Editcap boleh menulis fail dalam
beberapa format, editcap -F menyediakan senarai format output yang tersedia. The
lalai ialah pcap format.
-h Mencetak versi dan pilihan dan keluar.
-i
Pisahkan output paket kepada fail berbeza berdasarkan selang masa seragam menggunakan a
selang maksimum sebanyak setiap satu. Setiap fail output akan dibuat dengan a
akhiran -nnnnn, bermula dengan 00000. Jika paket untuk selang masa yang ditentukan adalah
ditulis pada fail output, fail output seterusnya dibuka. Lalai adalah menggunakan a
fail keluaran tunggal.
-saya
Abaikan nombor bait yang ditentukan pada permulaan bingkai semasa cincang MD5
pengiraan Berguna untuk mengalih keluar paket pendua yang diambil pada beberapa penghala(berbeza
alamat mac contohnya) cth -I 26 dalam kes Ether/IP/ akan abaikan eter(14) dan
Pengepala IP(20 - 4(src ip) - 4(dst ip)). Nilai lalai ialah 0.
-L Laraskan panjang bingkai asal dengan sewajarnya apabila memotong dan/atau menyentap (dalam
tambahan kepada panjang yang ditangkap, yang sentiasa diselaraskan tanpa mengira sama ada -L is
dinyatakan atau tidak). Lihat juga -C <choplen> dan -s <snaplen>.
-o
Apabila digunakan bersama -E, langkau beberapa bait dari permulaan paket dari
sedang diubah. Dengan cara ini sesetengah pengepala tidak ditukar, dan fuzzer lebih banyak
tertumpu pada bahagian paket yang lebih kecil. Mengekalkan sebahagian daripada paket tetap sama
dissector dicetuskan, yang menjadikan fuzzing lebih tepat.
-r Balikkan pemilihan paket. Menyebabkan paket yang nombor paketnya ditentukan
pada baris arahan untuk ditulis pada fail tangkapan output, bukannya membuang
Mereka.
-s
Menetapkan panjang syot kilat untuk digunakan semasa menulis data. Sekiranya -s bendera sudah biasa
tentukan panjang syot kilat, paket dalam fail input dengan lebih banyak data yang ditangkap daripada
panjang syot kilat yang ditentukan hanya akan mempunyai jumlah data yang ditentukan oleh syot kilat
panjang yang ditulis pada fail output.
Ini mungkin berguna jika program yang membaca fail output tidak dapat dikendalikan
paket yang lebih besar daripada saiz tertentu (contohnya, versi snoop dalam Solaris
2.5.1 dan Solaris 2.6 nampaknya menolak paket Ethernet yang lebih besar daripada standard
Ethernet MTU, menjadikan mereka tidak berupaya mengendalikan tangkapan Ethernet gigabit jika jumbo
paket telah digunakan).
-S
Masa melaraskan paket yang dipilih untuk memastikan susunan kronologi yang ketat.
The nilai mewakili saat relatif yang ditentukan sebagai
[-]saat[.pecahan saat].
Apabila fail tangkapan diproses, masa mutlak setiap paket adalah kemungkinan diselaraskan untuk
sama dengan atau lebih besar daripada cap waktu mutlak paket sebelumnya bergantung pada
nilai.
Jika nilai ialah 0 atau lebih besar (cth 0.000001) kemudian hanyalah paket
dengan cap masa kurang daripada paket sebelumnya akan dilaraskan. Cap masa yang dilaraskan
nilai akan ditetapkan untuk sama dengan nilai cap waktu paket sebelumnya ditambah dengan
nilai daripada nilai. A nilai 0
akan melaraskan bilangan minimum nilai cap masa yang diperlukan untuk memastikan bahawa
fail tangkapan yang terhasil adalah dalam susunan kronologi yang ketat.
Jika nilai ditentukan sebagai nilai negatif, kemudian cap waktu
nilai-nilai semua paket akan dilaraskan supaya sama dengan nilai cap masa bagi
paket sebelumnya ditambah dengan nilai mutlak pelarasan masa yang ketat nilai. A
nilai -0 akan menyebabkan semua paket mempunyai cap masa
nilai paket pertama.
Ciri ini berguna apabila fail surih mempunyai paket sekali-sekala dengan negatif
masa delta berbanding dengan paket sebelumnya.
-t
Menetapkan pelarasan masa untuk digunakan pada paket yang dipilih. Sekiranya -t bendera sudah biasa
tentukan pelarasan masa, pelarasan yang ditentukan akan digunakan untuk semua yang dipilih
paket dalam fail tangkapan. Pelarasan ditentukan sebagai [-]saat[.pecahan
saat]. Sebagai contoh, -t 3600 memajukan cap masa pada paket terpilih sebanyak satu jam
manakala -t -0.5 mengurangkan cap masa pada paket terpilih sebanyak satu setengah saat.
Ciri ini berguna apabila menyegerakkan tempat pembuangan sampah yang dikumpul pada mesin yang berbeza di mana
perbezaan masa antara dua mesin diketahui atau boleh dianggarkan.
-T
Menetapkan jenis pengkapsulan paket bagi fail tangkapan output. Sekiranya -T bendera digunakan
untuk menentukan jenis enkapsulasi, jenis enkapsulasi fail tangkapan output
akan dipaksa kepada jenis yang ditentukan. editcap -T menyediakan senarai yang tersedia
jenis. Jenis lalai ialah yang sesuai dengan jenis pengkapsulan input
menangkap fail.
Nota: ini hanya memaksa jenis enkapsulasi fail output menjadi yang ditentukan
jenis; pengepala paket paket tidak akan diterjemahkan daripada enkapsulasi
jenis fail tangkapan input kepada jenis enkapsulasi yang ditentukan (contohnya, ia
tidak akan menterjemahkan tangkapan Ethernet kepada tangkapan FDDI jika tangkapan Ethernet adalah
baca dan '-T fddi' dinyatakan). Jika anda perlu mengalih keluar/menambah pengepala daripada/ke paket,
anda perlu od(1) /text2pcap(1).
-v Punca editcap untuk mencetak mesej verbose semasa ia berfungsi.
Penggunaan -v dengan suis nyahduplikasi daripada -d, -D or -w akan menyebabkan semua cincang MD5
untuk dicetak sama ada paket itu dilangkau atau tidak.
-V Cetak versi dan keluar.
-w
Percubaan untuk mengeluarkan paket pendua. Masa ketibaan paket semasa dibandingkan
dengan sehingga 1000000 paket sebelumnya. Jika masa ketibaan relatif paket adalah kurang
daripada or sama kepada yang daripada paket sebelumnya dan panjang paket dan
Cincang MD5 bagi paket semasa adalah sama dengan paket yang hendak dilangkau. Pendua itu
ujian perbandingan berhenti apabila masa ketibaan relatif paket semasa lebih besar daripada
.
The dinyatakan sebagai saat[.pecahan saat].
Komponen [.fractional seconds] boleh ditentukan kepada sembilan (9) tempat perpuluhan
(persebillion saat) tetapi kebanyakan fail surih biasa mempunyai resolusi hingga enam (6)
tempat perpuluhan (sepersejuta saat).
NOTA: Menentukan besar nilai dengan fail surih yang besar boleh mengakibatkan
masa pemprosesan yang sangat lama untuk editcap.
CATATAN: The -w pilihan menganggap bahawa paket adalah dalam susunan kronologi. Sekiranya
paket TIDAK dalam susunan kronologi maka -w pilihan penyingkiran pendua mungkin tidak
mengenal pasti beberapa pendua.
CONTOH
Untuk melihat penerangan yang lebih terperinci tentang pilihan gunakan:
editcap -h
Untuk mengecilkan fail tangkapan dengan memotong paket pada 64 bait dan menulisnya sebagai Sun
penggunaan fail snoop:
editcap -s 64 -F snoop capture.pcap shortcapture.snoop
Untuk memadam paket 1000 daripada fail tangkap gunakan:
editcap capture.pcap sans1000.pcap 1000
Untuk mengehadkan fail tangkapan kepada paket dari nombor 200 hingga 750 (termasuk) gunakan:
editcap -r capture.pcap small.pcap 200-750
Untuk mendapatkan semua paket dari nombor 1-500 (termasuk) gunakan:
editcap -r capture.pcap first500.pcap 1-500
or
editcap capture.pcap first500.pcap 501-9999999
Untuk mengecualikan paket 1, 5, 10 hingga 20 dan 30 hingga 40 daripada penggunaan fail baharu:
editcap capture.pcap exclude.pcap 1 5 10-20 30-40
Untuk memilih hanya paket 1, 5, 10 hingga 20 dan 30 hingga 40 untuk kegunaan fail baharu:
editcap -r capture.pcap select.pcap 1 5 10-20 30-40
Untuk mengalih keluar paket pendua yang dilihat dalam empat bingkai sebelumnya gunakan:
editcap -d capture.pcap dedup.pcap
Untuk mengalih keluar paket pendua yang dilihat dalam 100 bingkai sebelumnya, gunakan:
editcap -D 101 capture.pcap dedup.pcap
Untuk mengalih keluar paket pendua yang dilihat sama kepada or kurang daripada 1/10 saat:
editcap -w 0.1 capture.pcap dedup.pcap
Untuk memaparkan cincangan MD5 untuk semua paket (dan TIDAK menjana sebarang fail output sebenar):
editcap -v -D 0 capture.pcap /dev/null
atau pada sistem Windows
editcap -v -D 0 capture.pcap NUL
Untuk memajukan cap masa setiap paket ke hadapan sebanyak 3.0827 saat:
editcap -t 3.0827 capture.pcap adjusted.pcap
Untuk memastikan semua cap masa berada dalam susunan kronologi yang ketat:
editcap -S 0 capture.pcap adjusted.pcap
Untuk memperkenalkan 5% ralat rawak dalam fail tangkapan gunakan:
editcap -E 0.05 capture.pcap capture_error.pcap
Untuk mengalih keluar tag vlan daripada semua paket dalam fail tangkapan berkapsul Ethernet, gunakan:
editcap -L -C 12:4 capture_vlan.pcap capture_no_vlan.pcap
Untuk memotong kedua-dua kawasan 10 bait dan 20 bait daripada paket 75 bait berikut dalam satu
lulus, gunakan mana-mana daripada 8 kaedah yang mungkin disediakan di bawah:
<--------------------------------------- 75 ---------------------- ------->
+---+-------+-----------+--------------+--------- ----------+
| 5 | 10 | 15 | 20 | 25 |
+---+-------+-----------+--------------+--------- ----------+
1) editcap -C 5:10 -C -25:-20 capture.pcap cincang.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcap cincang.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcap cincang.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcap cincang.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcap cincang.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcap cincang.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcap cincang.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcap cincang.pcap
Untuk menambah rentetan ulasan pada 2 bingkai input pertama, gunakan:
editcap -a "1:1st frame" -a 2:Second capture.pcap capture-comments.pcap
Gunakan editcap dalam talian menggunakan perkhidmatan onworks.net
