Это команда tcpslice, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
tcpslice - извлечь части и / или объединить файлы tcpdump
СИНТАКСИС
tcpslice [ -ДдлРрт ] [ -w файл ]
[ начальное время [ время окончания ]] файл ...
ОПИСАНИЕ
Тцпслайс это программа для извлечения частей файлов трассировки пакетов, созданных с использованием
tcpdump (l)'s -w флаг. Его также можно использовать для объединения нескольких таких файлов, как
обсуждается ниже.
Основная операция tcpslice скопировать в стандартный вывод все пакеты из входного файла (ов)
чьи временные метки попадают в заданный диапазон. Время начала и окончания диапазона
можно указать в командной строке. Все диапазоны включены. Время начала
по умолчанию используется самое раннее время первого пакета в любом из входных файлов; мы называем это
первый времени. По умолчанию время окончания составляет десять лет после времени начала. Таким образом
команду tcpslice файл трассировки просто копирует файл трассировки в стандартный вывод (при условии, что файл не
включать данные за более чем десять лет).
Есть несколько способов указать время. Первый использует временные метки Unix
форма ссссссссс.уууууу (это формат, указанный ТСРйитр's -тт флаг). Например,
654321098.7654 задает 38 секунд и 765,400 8 микросекунд после 51:25 по тихоокеанскому времени, XNUMX сентября,
1990. Воспользуйтесь функционалом
Все примеры в этом руководстве приведены для времени PDT, но при отображении времени и
символическая интерпретация времени, как описано ниже, tcpslice использует местный часовой пояс,
независимо от часового пояса, в котором ТСРйитр файл был создан. Летнее время
Используемая настройка соответствует местному часовому поясу на дату, о которой идет речь.
Например, летние месяцы обычно включают летнее время.
эффекты, а те, у кого зимние месяцы, не будет.
Время также может быть указано относительно первый время (при указании стартового
время) или время начала (при указании времени окончания), поставив перед числовым значением
в секундах со знаком "+". Например, время начала +200 указывает через 200 секунд после
первый время и два аргумента +200 +300 указать через 200 секунд после первый
время через 500 секунд после первый времени.
Время также может быть указано в годах (y), месяцах (m), днях (d), часах (h),
минуты (m), секунды (s) и микросекунды (u). Например, временная метка Unix
654321098.7654, рассмотренный выше, также может быть выражен как 1990y9m25d20h51m38s765400u. 2
или могут использоваться 4-значные годы; Двумя цифрами можно указать годы с 2 по 1970.
При указании времени с использованием этого стиля поля, которые не указываются, по умолчанию выглядят следующим образом. Если
пропущенное поле - это единица измерения большой чем у первого указанного поля, то его значение
по умолчанию используется соответствующее значение, взятое из любого первый время (если время начала
указывается) или время начала (если указывается время окончания). Если
пропущенное поле - это единица измерения Меньше чем у первого указанного поля, то по умолчанию
нуль. Например, предположим, что входной файл имеет первый время метки времени Unix
упомянутые выше, т. е. 38 секунд и 765,400 8 микросекунд после 51:25 по тихоокеанскому времени, XNUMX сентября,
1990. Чтобы указать 9:36 по тихоокеанскому стандартному времени (точно) в тот же день, мы могли бы использовать 21х36м. Чтобы указать
диапазон с 9:36 PDT до 1:54 AM PDT следующего дня, мы могли бы использовать 21h36m 26д1х54м.
Относительное время также можно указать при использовании ymdhmsu формат. Пропущенные поля тогда
по умолчанию 0, если единица измерения поля большой чем у первого указанного поля,
и соответствующему значению, взятому из первый время или время начала, если
единица пропущенного поля Меньше чем у первого указанного поля. Учитывая первый
время отметки времени Unix, упомянутой выше, 22h + 1ч10м указывает диапазон от 10:00 по тихоокеанскому времени
в этот день до 11:10 по тихоокеанскому времени и + 1ч + 1ч10м указывает диапазон от 38.7654 секунды
после 9:51 по тихоокеанскому времени через 38.7654 секунды после 11:01 по тихоокеанскому времени. Первый час файла
может быть извлечен с помощью +0 + 1ч.
Обратите внимание, что с ymdhmsu формат есть двусмысленность между использованием m на "месяц" или на
"минута". Неоднозначность разрешается следующим образом: если m после поля следует d поле
тогда это интерпретируется как указание месяцев; в противном случае указываются минуты.
Если указано более одного входного файла, тогда tcpslice объединяет пакеты из разных
входные файлы в один выходной файл. Обычно это слияние выполняется на основе значения
меток времени в пакетах в отдельных файлах. (Tcpslice предполагает, что одной
каждый входной файл, пакеты находятся в порядке отметок времени.) Если -l используется опция, значение
для упорядочивания используется метка времени данного пакета минус метка времени первого
пакет во входном файле, в котором находится данный пакет.
При объединении файлов по умолчанию tcpslice откажется от любых дублировать пакет он находит в более
чем один файл. Дубликат - это пакет с идентичной меткой времени (относительный
или абсолютное) и идентичное содержимое пакета (столько, сколько было захвачено) как другой пакет
ранее видел в другом файле. Обратите внимание, что сеть может генерировать
истинные реплики пакетов, и для систем, которые могут возвращать ту же метку времени для
несколько пакетов, их можно принять за дубликаты и отбросить. Соответственно,
tcpslice не будет отбрасывать дубликаты в одном файле трассировки. Кроме того, вы можете использовать
-D возможность запретить удаление дубликатов.
Другая проблема возникает, если файл содержит временные метки, которые пропускаются назад. tcpslice предусматривает
включите их в вывод, даже если они предшествуют минимальному запрошенному времени. Там
вероятно, должна быть возможность подавить их.
Другая проблема, связанная с обратными отметками времени, заключается в том, что tcpslice использует произвольный доступ к
искать в файле пакеты, соответствующие желаемому диапазону времени. В то время как
это приводит к значительному увеличению производительности для очень больших файлов трассировки, а также означает
что при наличии обратных меток времени tcpslice может не найти истинного самого раннего
появление пакета, соответствующего критериям временного интервала. Вероятно, должен быть
возможность указать, чтобы не использовать произвольный доступ, а просто читать файл линейно.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
Если любой из -Р, -r or -t указаны тогда tcpslice сообщает временные метки первого и
последние пакеты в каждом входном файле и завершается. Только один из этих трех вариантов может быть
указано.
-D Не отбрасывайте повторяющиеся пакеты, обнаруженные при слиянии нескольких файлов трассировки.
-d Выгрузите время начала и окончания, указанное в заданном диапазоне, и выйдите. Этот вариант
полезно для проверки того, что данный диапазон на самом деле указывает время, которое вы думаете
делает. Если один из -Р, -r or -t был указан, то время сбрасывается в
соответствующий формат; в противном случае необработанный формат ( -R) используется.
-l При объединении более одного файла объединяйте на основе относительного времени, а не
абсолютное время. Обычно, когда выполняется объединение файлов, пакеты объединяются на основе
абсолютные отметки времени. С участием -l пакеты объединяются в зависимости от относительного времени между
начало файла, в котором найден пакет, и отметка времени пакета
сам. Отметка времени пакетов в выходном файле рассчитывается как относительная
время для пакета в своем файле плюс первый времени.
-R Вывести метки времени первого и последнего пакетов в каждом входном файле как сырые
отметки времени (т. е. в форме ссссссссс.уууууу).
-r Такой же как -R за исключением того, что метки времени выгружаются в удобочитаемом формате, похожем на
что используется даты(1).
-t Такой же как -R за исключением того, что метки времени сбрасываются в tcpslice формат, т. е. в
ymdhmsu формат обсуждался выше.
-w Направьте вывод на файл , а не стандартный вывод.
Используйте tcpslice в Интернете с помощью сервисов onworks.net
