Este é o comando tcpslice que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
tcpslice - extrai pedaços de e / ou mescla arquivos tcpdump
SINOPSE
tcpslice [ -DdlRrt ] [ -w lima ]
[ hora de início [ Fim do tempo ]] lima ...
DESCRIÇÃO
TcpsliceComment é um programa para extrair porções de arquivos de rastreamento de pacotes gerados usando
tcpdump (l)'s -w bandeira. Ele também pode ser usado para mesclar vários desses arquivos, como
discutido abaixo.
A operação básica de tcpslice é copiar para stdout todos os pacotes de seu (s) arquivo (s) de entrada
cujos carimbos de data / hora estão dentro de um determinado intervalo. Os horários de início e término do intervalo
pode ser especificado na linha de comando. Todos os intervalos são inclusivos. A hora de início
o padrão é o tempo mais antigo do primeiro pacote em qualquer um dos arquivos de entrada; nós chamamos isso
da primeiro tempo. A hora de término é padronizada em dez anos após a hora de início. Assim, o
comando tcpslice arquivo de rastreamento simplesmente copia arquivo de rastreamento para stdout (assumindo que o arquivo não
incluir dados de mais de dez anos).
Existem várias maneiras de especificar os horários. O primeiro é usar carimbos de data / hora Unix do
formulário ssssssssssssssssssssssssssssssssssssssssssssssss (este é o formato especificado por tcpdump's -tt bandeira). Por exemplo,
654321098.7654 especifica 38 segundos e 765,400 microssegundos após 8h51 PDT, 25 de setembro,
1990.
Todos os exemplos neste manual são dados para horários PDT, mas ao exibir horários e
interpretando tempos simbolicamente, conforme discutido abaixo, tcpslice usa o fuso horário local,
independentemente do fuso horário em que o tcpdump arquivo foi gerado. O horário de verão
configuração usada é aquela que é apropriada para o fuso horário local na data em questão.
Por exemplo, os horários associados aos meses de verão geralmente incluem o horário de verão
efeitos, e aqueles com meses de inverno não.
Os tempos também podem ser especificados em relação ao primeiro tempo (ao especificar um início
hora) ou a hora de início (ao especificar uma hora de término) precedendo um valor numérico
em segundos com um `+ '. Por exemplo, uma hora de início de +200 indica 200 segundos depois
da primeiro tempo, e os dois argumentos +200 +300 indicar 200 segundos após o primeiro
tempo por 500 segundos após o primeiro tempo.
Os tempos também podem ser especificados em termos de anos (y), meses (m), dias (d), horas (h),
minutos (m), segundos (s) e microssegundos (u). Por exemplo, o carimbo de data / hora Unix
654321098.7654 discutido acima também pode ser expresso como 1990y9m25d20h51m38s765400u. 2
ou anos de 4 dígitos podem ser usados; 2 dígitos podem especificar os anos de 1970 a 2069.
Ao especificar horários usando este estilo, os campos que são omitidos são padronizados como segue. Se
o campo omitido é uma unidade maior do que o do primeiro campo especificado, então seu valor
o padrão é o valor correspondente obtido de qualquer primeiro tempo (se a hora de início for
sendo especificado) ou a hora de início (se a hora de término estiver sendo especificada). Se o
campo omitido é uma unidade menos do que o do primeiro campo especificado, o padrão é
zero. Por exemplo, suponha que o arquivo de entrada tenha um primeiro tempo do carimbo de data / hora Unix
mencionado acima, ou seja, 38 segundos e 765,400 microssegundos após 8:51 PDT, 25 de setembro,
1990. Para especificar 9:36 PDT (exatamente) na mesma data, poderíamos usar 21h36. Para especificar um
variam de 9h36 PDT a 1:54 PDT do dia seguinte, poderíamos usar 21h36 26d1h54m.
Tempos relativos também podem ser especificados ao usar o ymdhmsu formato. Campos omitidos então
padrão para 0 se a unidade do campo for maior do que o do primeiro campo especificado,
e ao valor correspondente retirado de qualquer primeiro tempo ou a hora de início se
a unidade do campo omitido é menos do que o do primeiro campo especificado. Dado um primeiro
tempo do carimbo de data / hora Unix mencionado acima, 22 horas + 1h10m especifica um intervalo de 10:00 PDT
nessa data até às 11:10 PDT, e + 1h + 1h10m especifica um intervalo de 38.7654 segundos
após 9h51 PDT a 38.7654 segundos após 11h01 PDT. A primeira hora do arquivo
poderia ser extraído usando +0 + 1h.
Observe que com o ymdhmsu formato, há uma ambigüidade entre usar m para 'mês' ou para
'minuto'. A ambigüidade é resolvida da seguinte forma: se um m campo é seguido por um d campo
em seguida, é interpretado como especificando meses; caso contrário, especifica os minutos.
Se mais de um arquivo de entrada for especificado, então tcpslice mescla os pacotes de vários
arquivos de entrada em um único arquivo de saída. Normalmente, esta fusão é feita com base no valor
dos carimbos de data / hora nos pacotes dos arquivos individuais. (Tcpslice assume que dentro
cada arquivo de entrada, os pacotes estão em ordem de carimbo de data / hora.) Se o -l opção é usada, o valor
usado para ordenação é o carimbo de data / hora de um determinado pacote menos o carimbo de data / hora do primeiro
pacote no arquivo de entrada em que o pacote dado ocorre.
Ao mesclar arquivos, por padrão tcpslice irá descartar qualquer duplicar pacote que encontra em mais
de um arquivo. Uma duplicata é um pacote que tem um carimbo de data / hora idêntico (seja relativo
ou absoluto) e conteúdo de pacote idêntico (tanto quanto foi capturado) como outro pacote
visto anteriormente em um arquivo diferente. Observe que é possível que a rede gere
verdadeiras réplicas de pacotes, e para sistemas que podem retornar o mesmo carimbo de data / hora para
pacotes múltiplos, eles podem ser confundidos com duplicatas e descartados. De acordo,
tcpslice não descartará duplicatas no mesmo arquivo de rastreamento. Além disso, você pode usar o
-D opção de suprimir qualquer descarte de duplicatas.
Um problema diferente surge se um arquivo contém carimbos de data / hora que retrocedem. tcpslice precisarão
inclua-os na saída, mesmo que precedam o tempo mínimo solicitado. Lá
provavelmente deve ser uma opção para suprimi-los.
Outro problema relacionado a carimbos de data / hora anteriores é que tcpslice usa acesso aleatório para
procure em um arquivo os pacotes correspondentes ao intervalo de tempo desejado. Enquanto
fazer isso leva a um grande benefício de desempenho para arquivos de rastreamento muito grandes, isso também significa
que na presença de carimbos de data / hora retroativos tcpslice pode falhar em encontrar o verdadeiro mais cedo
ocorrência de um pacote que corresponda aos critérios de intervalo de tempo. Provavelmente deve haver um
opção para especificar não usar acesso aleatório, mas apenas ler o arquivo linearmente.
OPÇÕES
Se algum de -R, -r or -t são especificados então tcpslice relata os timestamps do primeiro e
últimos pacotes em cada arquivo de entrada e sai. Apenas uma dessas três opções pode ser
Especificadas.
-D Não descarte pacotes duplicados vistos ao mesclar vários arquivos de rastreamento.
-d Descarregue os horários de início e término especificados pelo intervalo fornecido e saia. Esta opção é
útil para verificar se o intervalo dado realmente especifica os momentos em que você pensa
faz. Se um de -R, -r or -t foi especificado, então os horários são despejados no
formato correspondente; caso contrário, formato bruto ( -R) é usado.
-l Ao mesclar mais de um arquivo, faça a mesclagem com base no tempo relativo, ao invés de
tempo absoluto. Normalmente, quando a fusão de arquivos é feita, os pacotes são fundidos com base em
carimbos de data / hora absolutos. Com -l os pacotes são mesclados com base no tempo relativo entre
o início do arquivo em que o pacote é encontrado e o carimbo de data / hora do pacote
em si. O carimbo de data / hora dos pacotes no arquivo de saída é calculado como o relativo
tempo para o pacote dentro de seu arquivo mais primeiro tempo.
-R Despeje os carimbos de data / hora do primeiro e do último pacote em cada arquivo de entrada como bruto
carimbos de data / hora (ou seja, na forma ssssssssssssssssssssssssssssssssssssssssssssssss).
-r Igual a -R exceto que os carimbos de data / hora são despejados em formato legível por humanos, semelhante a
aquele usado por dados(1)..
-t Igual a -R exceto os timestamps são despejados em tcpslice formato, ou seja, no
ymdhmsu formato discutido acima.
-w Direcione a saída para lima em vez de stdout.
Use tcpslice online usando serviços onworks.net
