Este é o comando editcap que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
editcap - Editar e / ou traduzir o formato dos arquivos de captura
SINOPSE
capa de edição [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [Deslocamento:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] no arquivo arquivo de saída [ pacote#[-pacote#] ...]
capa de edição -d | -D | -w [ -v ] [ -I ]
no arquivo arquivo de saída
capa de edição [ -V ]
DESCRIÇÃO
Editarcap é um programa que lê alguns ou todos os pacotes capturados do no arquivo,
opcionalmente, os converte de várias maneiras e grava os pacotes resultantes na captura
arquivo de saída (ou outfiles).
Por padrão, ele lê todos os pacotes do no arquivo e os escreve para o arquivo de saída em pcap
.
Uma lista opcional de números de pacote pode ser especificada no final do comando; pacote individual
números separados por espaços em branco e / ou intervalos de números de pacote podem ser especificados como
começo-final, referindo-se a todos os pacotes de começo para final. Por padrão, os pacotes selecionados
com esses números vai não ser gravado no arquivo de captura. Se o -r bandeira é especificada,
toda a seleção do pacote é invertida; nesse caso só os pacotes selecionados serão
gravados no arquivo de captura.
Editarcap também pode ser usado para remover pacotes duplicados. Várias opções diferentes (-d, -D
e -w) são usados para controlar a janela do pacote ou janela de tempo relativa a ser usada para
comparação duplicada.
Editarcap pode ser usado para atribuir strings de comentários a números de quadros.
Editarcap é capaz de detectar, ler e escrever os mesmos arquivos de captura suportados por
Wireshark. O arquivo de entrada não precisa de uma extensão de nome de arquivo específica; o formato do arquivo e
uma compactação gzip opcional será detectada automaticamente. Perto do início do
Seção DESCRIÇÃO de wireshark(1) ou
é uma descrição detalhada do
maneira Wireshark lida com isso, que é da mesma maneira Editarcap lida com isso.
Editarcap pode gravar o arquivo em vários formatos de saída. o -F bandeira pode ser usada para especificar
o formato no qual gravar o arquivo de captura; capa de edição -F fornece uma lista dos disponíveis
formatos de saída.
OPÇÕES
-uma
Para o número do quadro específico, atribua a string de comentário fornecida. Pode ser repetido por
vários quadros. As aspas devem ser usadas com strings de comentário que incluem espaços.
-UMA
Salva apenas os pacotes cujo carimbo de data / hora está na hora de início ou depois dela. O tempo é dado
no seguinte formato AAAA-MM-DD HH: MM: SS
-B
Salva apenas os pacotes cujo carimbo de data / hora é anterior à hora de parada. O tempo é dado no
seguinte formato AAAA-MM-DD HH: MM: SS
-c
Divide a saída do pacote em arquivos diferentes com base em contagens de pacotes uniformes com um
máximo de cada. Cada arquivo de saída será criado com um sufixo
-nnnnn, começando com 00000. Se o número especificado de pacotes for gravado no
arquivo de saída, o próximo arquivo de saída é aberto. O padrão é usar uma única saída
arquivo.
-C [deslocamento:]
Define o comprimento do corte a ser usado ao gravar os dados do pacote. Cada pacote é cortado por
bytes de dados. Valores positivos dividem no início do pacote enquanto negativos
valores chop no final do pacote.
Se um deslocamento opcional precede o , então os bytes cortados serão compensados
desse valor. Os deslocamentos positivos são do início do pacote, enquanto os negativos
os deslocamentos são do final do pacote.
Isso é útil para cortar cabeçalhos para desencapsulamento de uma captura inteira, removendo
cabeçalhos de túnel, ou no caso raro de a conversão entre dois formatos de arquivo
deixa alguns bytes aleatórios no final de cada pacote. Outro uso é para remover vlan
Tag.
NOTA: Esta opção pode ser usada mais de uma vez, permitindo efetivamente que você corte os bytes
de até duas áreas diferentes de um pacote em uma única passagem, desde que você especifique
pelo menos um comprimento de corte como valor positivo e pelo menos um como valor negativo.
Todos os comprimentos de corte positivos são somados, assim como todos os comprimentos de corte negativos.
-d Tenta remover pacotes duplicados. O comprimento e hash MD5 do pacote atual
são comparados aos quatro (4) pacotes anteriores. Se uma correspondência for encontrada, o atual
o pacote é ignorado. Esta opção é equivalente a usar a opção -D 5.
-D
Tenta remover pacotes duplicados. O comprimento e hash MD5 do pacote atual
são comparados com o anterior - 1 pacote. Se uma correspondência for encontrada, o
o pacote atual é ignorado.
O uso da opção -D 0 combinado com o -v opção é útil na medida em que cada pacote
O número do pacote, Len e Hash MD5 serão impressos na saída padrão. Esta saída detalhada
(especificamente as sequências de hash MD5) podem ser úteis em scripts para identificar duplicatas
pacotes em arquivos de rastreamento.
O é especificado como um valor inteiro entre 0 e 1000000 (inclusive).
NOTA: Especificando grande valores com grandes tracefiles podem resultar em muito
longos tempos de processamento para capa de edição.
-E
Define a probabilidade de que os bytes no arquivo de saída sejam alterados aleatoriamente. Editarcap usos
essa probabilidade (entre 0.0 e 1.0 inclusive) de aplicar erros a cada byte de dados em
o arquivo. Por exemplo, uma probabilidade de 0.02 significa que cada byte tem 2% de chance de
tendo um erro.
Esta opção deve ser usada para dissetores de protocolo de teste de difusão.
-F
Define o formato do arquivo de captura de saída. Editarcap pode escrever o arquivo em
vários formatos, capa de edição -F fornece uma lista dos formatos de saída disponíveis. o
o padrão é o pcap formato.
-h Imprime a versão e opções e sai.
-eu
Divide a saída do pacote em arquivos diferentes com base em intervalos de tempo uniformes usando um
intervalo máximo de cada. Cada arquivo de saída será criado com um
sufixo -nnnnn, começando com 00000. Se os pacotes para o intervalo de tempo especificado forem
gravado no arquivo de saída, o próximo arquivo de saída é aberto. O padrão é usar um
arquivo de saída único.
-EU
Ignora o número de bytes especificado no início do quadro durante o hash MD5
cálculo Útil para remover pacotes duplicados tomados em vários roteadores (diferentes
endereços mac, por exemplo) por exemplo, -I 26 no caso de Ether / IP / irá ignorar éter(14) e
Cabeçalho IP (20 - 4 (src ip) - 4 (dst ip)). O valor padrão é 0.
-L Ajuste o comprimento do quadro original de acordo ao cortar e / ou encaixar (em
além do comprimento capturado, que é sempre ajustado independentemente de -L is
especificado ou não). Veja também -C <choplen> e -s <snaplen>.
-o
Quando usado em conjunto com -E, pula alguns bytes do início do pacote de
sendo mudado. Desta forma, alguns cabeçalhos não são alterados, e o difusor é mais
focado em uma parte menor do pacote. Manter uma parte do pacote fixa da mesma
o dissector é acionado, o que torna o fuzzing mais preciso.
-r Reverte a seleção do pacote. Faz com que os pacotes cujos números de pacote sejam especificados
na linha de comando para ser gravado no arquivo de captura de saída, em vez de descartar
Eles.
-s
Define o comprimento do instantâneo a ser usado ao gravar os dados. Se o -s bandeira é usada para
especificar um comprimento de instantâneo, pacotes no arquivo de entrada com mais dados capturados do que o
o comprimento do instantâneo especificado terá apenas a quantidade de dados especificada pelo instantâneo
comprimento gravado no arquivo de saída.
Isso pode ser útil se o programa que vai ler o arquivo de saída não puder lidar com
pacotes maiores que um certo tamanho (por exemplo, as versões do snoop no Solaris
2.5.1 e Solaris 2.6 parecem rejeitar pacotes Ethernet maiores do que o padrão
Ethernet MTU, tornando-os incapazes de lidar com capturas Gigabit Ethernet em caso de jumbo
pacotes foram usados).
-S
Ajuste o tempo dos pacotes selecionados para garantir uma ordem cronológica estrita.
O valor representa segundos relativos especificados como
[-]segundo[.fracionário segundo].
À medida que o arquivo de captura é processado, o tempo absoluto de cada pacote é possivelmente ajustado para
ser igual ou maior do que o carimbo de data / hora absoluto do pacote anterior, dependendo do
valor.
Se o valor é 0 ou maior (por exemplo, 0.000001), então só pacotes
com um carimbo de data / hora menor que o pacote anterior será ajustado. O timestamp ajustado
valor será definido para ser igual ao valor do carimbo de data / hora do pacote anterior mais o
valor do valor. UMA valor de 0
ajustará o número mínimo de valores de carimbo de data / hora necessários para garantir que o
arquivo de captura resultante está em estrita ordem cronológica.
Se valor é especificado como um valor negativo, então o carimbo de data / hora
valores de todos os os pacotes serão ajustados para serem iguais ao valor do carimbo de data / hora do
pacote anterior mais o valor absoluto do ajuste de tempo estrito valor. UMA
valor de -0 resultará em todos os pacotes com o carimbo de data / hora
valor do primeiro pacote.
Este recurso é útil quando o arquivo de rastreamento tem um pacote ocasional com um negativo
tempo delta em relação ao pacote anterior.
-t
Define o ajuste de tempo a ser usado nos pacotes selecionados. Se o -t bandeira é usada para
especificar um ajuste de tempo, o ajuste especificado será aplicado a todos os selecionados
pacotes no arquivo de captura. O ajuste é especificado como [-]segundo[.fracionário
segundo] Por exemplo, -t 3600 avança o carimbo de data / hora nos pacotes selecionados em uma hora
enquanto -t -0.5 reduz o carimbo de data / hora nos pacotes selecionados em meio segundo.
Este recurso é útil ao sincronizar despejos coletados em diferentes máquinas onde
a diferença de tempo entre as duas máquinas é conhecida ou pode ser estimada.
-T
Define o tipo de encapsulamento de pacote do arquivo de captura de saída. Se o -T bandeira é usada
para especificar um tipo de encapsulamento, o tipo de encapsulamento do arquivo de captura de saída
será forçado para o tipo especificado. capa de edição -T fornece uma lista dos disponíveis
tipos. O tipo padrão é aquele apropriado para o tipo de encapsulamento da entrada
arquivo de captura.
Nota: isso simplesmente força o tipo de encapsulamento do arquivo de saída a ser o especificado
modelo; os cabeçalhos dos pacotes não serão traduzidos do encapsulamento
tipo do arquivo de captura de entrada para o tipo de encapsulamento especificado (por exemplo,
não irá traduzir uma captura Ethernet em uma captura FDDI se uma captura Ethernet for
Leia e '-T fddi' é especificado). Se você precisar remover / adicionar cabeçalhos de / para um pacote,
você vai precisar od(1) /texto2pcap(1).
-v Causas capa de edição para imprimir mensagens detalhadas enquanto está funcionando.
Uso de -v com os interruptores de eliminação de duplicação de -d, -D or -w fará com que todos os hashes MD5
a ser impresso quer o pacote seja pulado ou não.
-V Imprime a versão e sai.
-C
Tenta remover pacotes duplicados. A hora de chegada do pacote atual é comparada
com até 1000000 de pacotes anteriores. Se a hora relativa de chegada do pacote for menos
do que or igual para a de um pacote anterior e o comprimento do pacote e
O hash MD5 do pacote atual é o mesmo que o pacote a ser ignorado. A duplicata
o teste de comparação para quando o tempo relativo de chegada do pacote atual é maior que
.
o é especificado como segundo[.fracionário segundo].
O componente [.fractional seconds] pode ser especificado com nove (9) casas decimais
(bilionésimos de segundo), mas os arquivos de rastreamento mais comuns têm resolução de seis (6)
casas decimais (milionésimos de segundo).
NOTA: Especificando grande valores com grandes tracefiles podem resultar em
tempos de processamento muito longos para capa de edição.
Note o -w opção assume que os pacotes estão em ordem cronológica. Se o
pacotes NÃO estão em ordem cronológica, então o -w a opção de remoção de duplicação não pode
identificar algumas duplicatas.
EXEMPLOS
Para ver uma descrição mais detalhada das opções, use:
editcap -h
Para reduzir o arquivo de captura, truncando os pacotes em 64 bytes e gravando-o como Sun
uso de arquivo snoop:
editcap -s 64 -F snoop capture.pcap shortcapture.snoop
Para excluir o pacote 1000 do arquivo de captura, use:
editcap capture.pcap sans1000.pcap 1000
Para limitar um arquivo de captura a pacotes de número 200 a 750 (inclusive), use:
editcap -r capture.pcap pequeno.pcap 200-750
Para obter todos os pacotes do número 1-500 (inclusive), use:
editcap -r capture.pcap first500.pcap 1-500
or
editcap capture.pcap first500.pcap 501-9999999
Para excluir os pacotes 1, 5, 10 a 20 e 30 a 40 do novo arquivo, use:
editcap capturar.pcap excluir.pcap 1 5 10-20 30-40
Para selecionar apenas os pacotes 1, 5, 10 a 20 e 30 a 40 para o novo arquivo, use:
editcap -r capture.pcap selecione.pcap 1 5 10-20 30-40
Para remover pacotes duplicados vistos nos quatro quadros anteriores, use:
editcap -d capture.pcap dedup.pcap
Para remover pacotes duplicados vistos nos 100 frames anteriores, use:
editcap -D 101 capture.pcap dedup.pcap
Para remover pacotes duplicados vistos igual para or menos do que 1/10 de segundo:
editcap -w 0.1 capture.pcap dedup.pcap
Para exibir o hash MD5 para todos os pacotes (e NÃO gerar nenhum arquivo de saída real):
editcap -v -D 0 capture.pcap / dev / null
ou em sistemas Windows
editcap -v -D 0 capture.pcap NUL
Para avançar os carimbos de data / hora de cada pacote em 3.0827 segundos:
editcap -t 3.0827 capture.pcap ajustado.pcap
Para garantir que todos os carimbos de data / hora estejam em ordem cronológica estrita:
editcap -S 0 capture.pcap ajustado.pcap
Para introduzir 5% de erros aleatórios em um arquivo de captura, use:
editcap -E 0.05 capture.pcap capture_error.pcap
Para remover tags vlan de todos os pacotes em um arquivo de captura encapsulado por Ethernet, use:
editcap -L -C 12: 4 capture_vlan.pcap capture_no_vlan.pcap
Para cortar as regiões de 10 bytes e 20 bytes do seguinte pacote de 75 bytes em um único
passar, use qualquer um dos 8 métodos possíveis fornecidos abaixo:
<--------------------------- 75 --------------------- ------->
+ --- + ------- + ----------- + --------------- + --------- ---------- +
| 5 | 10 15 20 25
+ --- + ------- + ----------- + --------------- + --------- ---------- +
1) editcap -C 5:10 -C -25: -20 capture.pcap chopped.pcap
2) editcap -C 5:10 -C 50: -20 capture.pcap chopped.pcap
3) editcap -C -70: 10 -C -25: -20 capture.pcap chopped.pcap
4) editcap -C -70: 10 -C 50: -20 capture.pcap chopped.pcap
5) editcap -C 30:20 -C -60: -10 capture.pcap chopped.pcap
6) editcap -C 30:20 -C 15: -10 capture.pcap chopped.pcap
7) editcap -C -45: 20 -C -60: -10 capture.pcap chopped.pcap
8) editcap -C -45: 20 -C 15: -10 capture.pcap chopped.pcap
Para adicionar strings de comentário aos primeiros 2 quadros de entrada, use:
editcap -a "1: 1º quadro" -a 2: Segundo capture.pcap capture-comments.pcap
Use editcap online usando serviços onworks.net
