Jest to polecenie editcap, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
editcap - Edytuj i/lub tłumacz format przechwytywanych plików
STRESZCZENIE
edytuj cap [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [zrównoważyć:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] w pliku plik wyjściowy [ paczka#[-paczka#] ... ]
edytuj cap -d | -D | -w [ -v ] [ -I ]
w pliku plik wyjściowy
edytuj cap [ -V ]
OPIS
Edytuj to program, który odczytuje część lub wszystkie przechwycone pakiety z pliku w pliku,
opcjonalnie konwertuje je na różne sposoby i zapisuje powstałe pakiety do przechwycenia
plik wyjściowy (lub pliki wyjściowe).
Domyślnie czyta wszystkie pakiety z pliku w pliku i zapisuje je do plik wyjściowy w pcap
format pliku.
Opcjonalną listę numerów pakietów można określić w ogonie polecenia; pakiet indywidualny
liczby oddzielone spacjami i/lub zakresami numerów pakietów można określić jako
początek-zakończenia, odnoszący się do wszystkich pakietów z początek do zakończenia. Domyślnie wybrane pakiety
z tymi liczbami będzie nie zostać zapisane w pliku przechwytywania. Jeśli -r podana jest flaga,
cały wybór pakietów zostaje odwrócony; w tym wypadku tylko wybrane pakiety będą
zapisane w pliku przechwytywania.
Edytuj może być również użyty do usunięcia zduplikowanych pakietów. Kilka różnych opcji (-d, -D
i -w) służą do kontrolowania okna pakietu lub względnego okna czasu, którego należy użyć
zdublowane porównanie.
Edytuj można wykorzystać do przypisania ciągów komentarzy do numerów klatek.
Edytuj potrafi wykrywać, czytać i zapisywać te same pliki przechwytywania, które są obsługiwane przez
Wireshark. Plik wejściowy nie wymaga określonego rozszerzenia nazwy pliku; format pliku i
opcjonalna kompresja gzip zostanie wykryta automatycznie. Na początku
OPIS Sekcja z Wireshark(1) lub
jest szczegółowym opisem
droga Wireshark radzi sobie z tym, co jest w ten sam sposób Edytuj radzi sobie z tym.
Edytuj może zapisać plik w kilku formatach wyjściowych. ten -F flaga może być użyta do określenia
format, w jakim zapisać plik przechwytywania; edytuj cap -F wyświetla listę dostępnych
formaty wyjściowe.
OPCJE
-A
Do podanego numeru ramki przypisz podany ciąg komentarza. Można powtórzyć dla
wiele klatek. Cytatów należy używać z ciągami komentarzy zawierającymi spacje.
-A
Zapisuje tylko pakiety, których znacznik czasu jest zgodny z czasem rozpoczęcia lub późniejszy. Czas jest dany
w następującym formacie RRRR-MM-DD GG:MM:SS
-B
Zapisuje tylko pakiety, których znacznik czasu jest wcześniejszy niż czas zatrzymania. Czas podany jest w
w następującym formacie RRRR-MM-DD GG:MM:SS
-C
Dzieli wyjście pakietu na różne pliki w oparciu o jednakową liczbę pakietów za pomocą a
maksymalnie każdy. Każdy plik wyjściowy zostanie utworzony z przyrostkiem
-nnnnn, zaczynając od 00000. Jeśli określona liczba pakietów zostanie zapisana w pliku
plik wyjściowy, otwierany jest następny plik wyjściowy. Domyślnie używane jest jedno wyjście
plik.
-C [przesunięcie:]
Ustawia długość cięcia używaną podczas zapisywania danych pakietowych. Każdy pakiet jest cięty
bajty danych. Wartości dodatnie są przerywane na początku pakietu, natomiast wartości ujemne
wartości są obcinane na końcu pakietu.
Jeśli opcjonalne przesunięcie poprzedza , wówczas pocięte bajty zostaną przesunięte
od tej wartości. Dodatnie przesunięcia są od początku pakietu, natomiast ujemne
przesunięcia pochodzą od końca pakietu.
Jest to przydatne do wycinania nagłówków w celu dekapsulacji całego przechwytywania i usuwania
tunelowanie nagłówków lub, w rzadkich przypadkach, konwersja pomiędzy dwoma formatami plików
pozostawia kilka losowych bajtów na końcu każdego pakietu. Innym zastosowaniem jest usuwanie sieci VLAN
tagi.
UWAGA: Opcji tej można użyć więcej niż raz, co skutecznie pozwala na cięcie bajtów
z maksymalnie dwóch różnych obszarów pakietu w jednym przebiegu, pod warunkiem, że tak określisz
co najmniej jedną długość cięcia jako wartość dodatnią i co najmniej jedną jako wartość ujemną.
Wszystkie dodatnie długości cięcia są sumowane, podobnie jak wszystkie ujemne długości cięcia.
-d Próbuje usunąć zduplikowane pakiety. Długość i skrót MD5 bieżącego pakietu
są porównywane z poprzednimi czterema (4) pakietami. Jeśli zostanie znalezione dopasowanie, plik current
pakiet jest pomijany. Ta opcja jest równoznaczna z użyciem opcji -D 5.
-D
Próbuje usunąć zduplikowane pakiety. Długość i skrót MD5 bieżącego pakietu
są porównywane z poprzednimi - 1 pakiety. Jeśli zostanie znalezione dopasowanie, plik
bieżący pakiet jest pomijany.
Użycie opcji -D 0 w połączeniu z -v opcja jest przydatna, ponieważ każdy pakiet jest
Numer pakietu, Len i MD5 Hash zostaną wydrukowane w standardzie. To szczegółowe wyjście
(w szczególności ciągi skrótu MD5) mogą być przydatne w skryptach do identyfikowania duplikatów
pakietów w plikach śledzenia.
The jest określany jako wartość całkowita z zakresu od 0 do 1000000 (włącznie).
UWAGA: Określanie dużych wartości z dużymi plikami śledzenia mogą skutkować bardzo
długi czas przetwarzania edytuj cap.
-MI
Ustawia prawdopodobieństwo, że bajty w pliku wyjściowym zostaną losowo zmienione. Edytuj zastosowania
prawdopodobieństwo (od 0.0 do 1.0 włącznie) zastosowania błędów do każdego bajtu danych
plik. Na przykład prawdopodobieństwo 0.02 oznacza, że każdy bajt ma 2% szansy
występujący błąd.
Ta opcja jest przeznaczona do stosowania w dysektorach protokołu do testowania rozmytego.
-F
Ustawia format pliku wyjściowego przechwytywania. Edytuj może zapisać plik w
kilka formatów, edytuj cap -F zawiera listę dostępnych formatów wyjściowych. ten
domyślny jest PCAP Format.
-h Wyświetla wersję i opcje oraz kończy działanie.
-I
Dzieli wyjście pakietu na różne pliki w oparciu o jednolite odstępy czasu przy użyciu a
maksymalny odstęp czasu każdy. Każdy plik wyjściowy zostanie utworzony z rozszerzeniem
przyrostek -nnnnn, zaczynający się od 00000. Jeśli pakiety dla określonego przedziału czasu są
zapisane do pliku wyjściowego, otwierany jest następny plik wyjściowy. Domyślnie używane jest a
pojedynczy plik wyjściowy.
-I
Ignoruj określoną liczbę bajtów na początku ramki podczas mieszania MD5
obliczenia Przydatne do usuwania zduplikowanych pakietów pobranych na kilku routerach (różne
adresy mac), np. -I 26 w przypadku Ether/IP/ zostanie zignorowane eter(14) i
Nagłówek IP (20 - 4(src ip) - 4(dst ip)). Wartość domyślna to 0.
-L Dostosuj odpowiednio oryginalną długość ramki podczas przycinania i/lub przyciągania (cale
oprócz przechwyconej długości, która jest zawsze dostosowywana niezależnie od tego, czy -L is
określone lub nie). Zobacz też -C <choplen> i -s <snaplen>.
-o
W połączeniu z -E, pomiń kilka bajtów z początku pakietu
ulega zmianie. W ten sposób niektóre nagłówki nie ulegną zmianie, a fuzzer będzie większy
skupiony na mniejszej części pakietu. Utrzymanie części pakietu naprawionej w ten sam sposób
uruchamiany jest disektor, który sprawia, że fuzzing jest bardziej precyzyjny.
-r Odwraca wybór pakietów. Powoduje pakiety, których numery pakietów są określone
w wierszu poleceń, który ma zostać zapisany w wyjściowym pliku przechwytywania, zamiast odrzucać
Im.
-s
Ustawia długość migawki, która ma być używana podczas zapisywania danych. Jeśli -s flaga jest używana do
określ długość migawki, pakiety w pliku wejściowym zawierające więcej przechwyconych danych niż
określona długość migawki będzie miała tylko ilość danych określoną przez migawkę
długość zapisana w pliku wyjściowym.
Może to być przydatne, jeśli program mający odczytać plik wyjściowy nie radzi sobie z taką obsługą
pakiety większe niż określony rozmiar (na przykład wersje snoop w Solaris
Wydaje się, że wersje 2.5.1 i Solaris 2.6 odrzucają pakiety Ethernet większe niż standardowe
Ethernet MTU, co czyni je niezdolnymi do obsługi przechwytywania gigabitowego Ethernetu w przypadku dużych rozmiarów
wykorzystano pakiety).
-S
Dostosuj czas wybranych pakietów, aby zapewnić ścisły porządek chronologiczny.
The wartość reprezentuje względne sekundy określone jako
[-]sekund[.frakcyjny sekund].
W miarę przetwarzania pliku przechwytywania, czas bezwzględny każdego pakietu wynosi możliwie doprowadza się do
być równy lub większy niż bezwzględny znacznik czasu poprzedniego pakietu, w zależności od
wartość.
Jeśli wartość wynosi 0 lub więcej (np. 0.000001). tylko Pakiety
ze znacznikiem czasu mniejszym niż poprzedni pakiet zostanie dostosowany. Skorygowany znacznik czasu
wartość zostanie ustawiona jako równa wartości znacznika czasu poprzedniego pakietu plus
wartość wartość. A wartość 0
dostosuje minimalną liczbę wartości znaczników czasu niezbędną do zapewnienia, że
wynikowy plik przechwytywania jest w ścisłym porządku chronologicznym.
Jeśli wartość jest określona jako wartość ujemna, następnie znacznik czasu
wartości cała kolekcja pakiety zostaną dostosowane tak, aby były równe wartości znacznika czasu
poprzedni pakiet plus wartość bezwzględna ścisła regulacja czasu wartość. A
wartość -0 spowoduje, że wszystkie pakiety będą miały znacznik czasu
wartość pierwszego pakietu.
Ta funkcja jest przydatna, gdy plik śledzenia zawiera okazjonalny pakiet z negatywem
czas delta w stosunku do poprzedniego pakietu.
-T
Ustawia dostosowanie czasu, które ma być stosowane w przypadku wybranych pakietów. Jeśli -t flaga jest używana do
określ korektę czasu, określona korekta zostanie zastosowana do wszystkich wybranych
pakiety w pliku przechwytywania. Korektę określa się jako [-]sekund[.frakcyjny
sekund] Na przykład, -t 3600 przesuwa znacznik czasu wybranych pakietów o jedną godzinę
Podczas -t Wartość -0.5 zmniejsza znacznik czasu wybranych pakietów o pół sekundy.
Ta funkcja jest przydatna podczas synchronizowania zrzutów zebranych na różnych komputerach, gdzie
różnica czasu między obiema maszynami jest znana lub można ją oszacować.
-T
Ustawia typ enkapsulacji pakietu wyjściowego pliku przechwytywania. Jeśli -T flaga jest używana
aby określić typ enkapsulacji, typ enkapsulacji wyjściowego pliku przechwytywania
zostanie wymuszony określony typ. edytuj cap -T wyświetla listę dostępnych
typy. Domyślnym typem jest ten odpowiedni dla typu enkapsulacji wejścia
plik przechwytywania.
Uwaga: wymusza to jedynie określony typ enkapsulacji pliku wyjściowego
typ; nagłówki pakietów nie zostaną przetłumaczone w wyniku enkapsulacji
typ wejściowego pliku przechwytywania na określony typ enkapsulacji (na przykład it
nie przetłumaczy przechwytywania Ethernet na przechwytywanie FDDI, jeśli przechwytywanie Ethernet jest takie
Przeczytaj i '-T fddi' jest specyficzne). Jeśli chcesz usunąć/dodać nagłówki z/do pakietu,
będziesz potrzebować od(1) /tekst2pcap(1).
-v Przyczyny edytuj cap aby wydrukować szczegółowe wiadomości podczas pracy.
w korzystaniu -v z przełącznikami deduplikacji -d, -D or -w spowoduje wszystkie skróty MD5
zostać wydrukowane niezależnie od tego, czy pakiet został pominięty, czy nie.
-V Wydrukuj wersję i wyjdź.
-w
Próbuje usunąć zduplikowane pakiety. Porównywany jest czas przybycia bieżącego pakietu
z maksymalnie 1000000 poprzednich pakietów. Jeśli względny czas przybycia pakietu wynosi mniej
niż or równy do the poprzedniego pakietu oraz długość pakietu i
Hash MD5 bieżącego pakietu jest taki sam jak pakiet do pominięcia. Duplikat
test porównawczy kończy się, gdy względny czas przybycia bieżącego pakietu jest większy niż
.
The jest określony jako sekund[.frakcyjny sekund].
Składnik [.ułamek sekund] można określić z dokładnością do dziewięciu (9) miejsc po przecinku
(miliardowe części sekundy), ale większość typowych plików śledzenia ma rozdzielczość sześciu (6)
miejsc dziesiętnych (milionowych części sekundy).
UWAGA: Określanie dużych wartości z dużymi plikami śledzenia mogą skutkować
bardzo długi czas przetwarzania edytuj cap.
Zanotuj -w Opcja zakłada, że pakiety są ułożone chronologicznie. Jeśli
pakiety NIE są ułożone w porządku chronologicznym -w opcja usuwania duplikatów może nie
zidentyfikować kilka duplikatów.
PRZYKŁADY
Aby zobaczyć bardziej szczegółowy opis opcji użyj:
edytuj cap -h
Aby zmniejszyć plik przechwytywania, obcinając pakiety do 64 bajtów i zapisując je jako Sun
użycie pliku snoop:
editcap -s 64 -F snoop przechwytywanie.pcap shortcapture.snoop
Aby usunąć pakiet 1000 z pliku przechwytywania, użyj:
edytuj przechwytywanie.pcap sans1000.pcap 1000
Aby ograniczyć przechwytywanie pliku do pakietów o numerze od 200 do 750 (włącznie), użyj:
editcap -r przechwytywanie.pcap mały.pcap 200-750
Aby otrzymać wszystkie pakiety od numeru 1-500 (włącznie) użyj:
editcap -r przechwytywanie.pcap pierwszy500.pcap 1-500
or
editcap Capture.pcap First500.pcap 501-9999999
Aby wykluczyć pakiety 1, 5, 10 do 20 i 30 do 40 z nowego pliku, użyj:
editcap przechwytywania.pcap wyklucz.pcap 1 5 10-20 30-40
Aby wybrać tylko pakiety 1, 5, 10 do 20 i 30 do 40 do nowego pliku, użyj:
editcap -r przechwytywanie.pcap wybierz.pcap 1 5 10-20 30-40
Aby usunąć zduplikowane pakiety widoczne w poprzednich czterech ramkach, użyj:
editcap -d przechwytywanie.pcap dedup.pcap
Aby usunąć zduplikowane pakiety widoczne w ciągu ostatnich 100 ramek, użyj:
editcap -D 101 przechwytywanie.pcap dedup.pcap
Aby usunąć zauważone zduplikowane pakiety równy do or mniej niż 1/10 sekundy:
editcap -w 0.1 przechwytywanie.pcap dedup.pcap
Aby wyświetlić skrót MD5 dla wszystkich pakietów (i NIE generować żadnego rzeczywistego pliku wyjściowego):
editcap -v -D 0 przechwytywanie.pcap /dev/null
lub w systemach Windows
editcap -v -D 0 przechwytywanie.pcap NUL
Aby przesunąć znaczniki czasu każdego pakietu do przodu o 3.0827 sekundy:
editcap -t 3.0827 przechwytywanie.pcap dostosowany.pcap
Aby mieć pewność, że wszystkie znaczniki czasu są w ścisłym porządku chronologicznym:
editcap -S 0 przechwytywanie.pcap skorygowane.pcap
Aby wprowadzić 5% losowych błędów w pliku przechwytywania, użyj:
editcap -E 0.05 Capture.pcap Capture_error.pcap
Aby usunąć znaczniki VLAN ze wszystkich pakietów w pliku przechwytywania hermetyzowanym w sieci Ethernet, użyj:
editcap -L -C 12:4 przechwytywanie_vlan.pcap przechwytywanie_no_vlan.pcap
Aby oddzielić regiony 10-bajtowe i 20-bajtowe z kolejnego pakietu 75-bajtowego w jednym
zdaj, użyj dowolnej z 8 możliwych metod podanych poniżej:
<-------------------------- 75 ----------------------------------- -------->
+-------+--+-------+--------------+--------- ----------+
| 5 | 10 | 15 | 20 | 25 |
+-------+--+-------+--------------+--------- ----------+
1) editcap -C 5:10 -C -25:-20 capture.pcap posiekane.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcap posiekany.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcap posiekane.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcap posiekane.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcap posiekane.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcap posiekany.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcap posiekane.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcap posiekane.pcap
Aby dodać ciągi komentarzy do pierwszych 2 ramek wejściowych, użyj:
editcap -a "1:1-sza klatka" -a 2:Drugie przechwytywanie.pcap przechwytywanie-komentarze.pcap
Korzystaj z editcap online, korzystając z usług onworks.net
