นี่คือคำสั่ง editcap ที่สามารถเรียกใช้ในผู้ให้บริการโฮสต์ฟรีของ OnWorks โดยใช้เวิร์กสเตชันออนไลน์ฟรีของเรา เช่น Ubuntu Online, Fedora Online, โปรแกรมจำลองออนไลน์ของ Windows หรือโปรแกรมจำลองออนไลน์ของ MAC OS
โครงการ:
ชื่อ
editcap - แก้ไขและ/หรือแปลรูปแบบของไฟล์แคปเจอร์
เรื่องย่อ
แก้ไขแคป [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [ออฟเซ็ต:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] แฟ้ม ออกจากไฟล์ [ แพ็กเก็ต#[-แพ็กเก็ต#-
แก้ไขแคป -d | -D | -w [ -v ] [ -I ]
แฟ้ม ออกจากไฟล์
แก้ไขแคป [ -V ]
DESCRIPTION
แก้ไขแคป เป็นโปรแกรมที่อ่านแพ็กเก็ตที่ดักจับบางส่วนหรือทั้งหมดจาก แฟ้ม,
เลือกแปลงได้หลายวิธีและเขียนแพ็กเก็ตผลลัพธ์ไปยังการดักจับ
ออกจากไฟล์ (หรือไฟล์นอก)
โดยค่าเริ่มต้น จะอ่านแพ็กเก็ตทั้งหมดจาก แฟ้ม และเขียนถึง ออกจากไฟล์ ใน pcap
รูปแบบไฟล์.
รายการหมายเลขแพ็กเก็ตที่เป็นทางเลือกสามารถระบุได้ที่ส่วนท้ายคำสั่ง แต่ละแพ็คเก็ต
ตัวเลขคั่นด้วยช่องว่างและ/หรือช่วงของหมายเลขแพ็กเก็ตสามารถระบุเป็น
เริ่มต้น-ปลาย, หมายถึงแพ็กเก็ตทั้งหมดจาก เริ่มต้น ไปยัง ปลาย. โดยค่าเริ่มต้น แพ็กเก็ตที่เลือก
ด้วยตัวเลขเหล่านั้นจะ ไม่ ถูกเขียนลงในไฟล์จับภาพ ถ้า -r มีการระบุแฟล็ก
การเลือกแพ็กเก็ตทั้งหมดกลับรายการ ในกรณีนั้น เพียง แพ็กเก็ตที่เลือกจะเป็น
เขียนไปยังไฟล์จับภาพ
แก้ไขแคป สามารถใช้เพื่อลบแพ็กเก็ตที่ซ้ำกัน หลายตัวเลือก (-d, -D
และ -w) ใช้เพื่อควบคุมหน้าต่างแพ็คเก็ตหรือหน้าต่างเวลาสัมพัทธ์ที่จะใช้สำหรับ
การเปรียบเทียบที่ซ้ำกัน
แก้ไขแคป สามารถใช้เพื่อกำหนดสตริงความคิดเห็นให้กับหมายเลขเฟรม
แก้ไขแคป สามารถตรวจจับ อ่าน และเขียนไฟล์แคปเจอร์เดียวกันกับที่ . รองรับ
Wireshark. ไฟล์อินพุตไม่ต้องการนามสกุลไฟล์เฉพาะ รูปแบบไฟล์และ
การบีบอัด gzip ที่เป็นตัวเลือกจะถูกตรวจพบโดยอัตโนมัติ ใกล้จุดเริ่มต้นของ
ส่วนคำอธิบายของ Wireshark(1) หรือ
เป็นคำอธิบายโดยละเอียดของ
ทาง Wireshark จัดการสิ่งนี้ซึ่งเป็นวิธีเดียวกัน แก้ไขแคป จัดการสิ่งนี้
แก้ไขแคป สามารถเขียนไฟล์ได้หลายรูปแบบ NS -F ธงสามารถใช้ระบุ
รูปแบบการเขียนไฟล์ดักจับ; แก้ไขแคป -F ให้รายการที่มีอยู่
รูปแบบเอาต์พุต
OPTIONS
-a
สำหรับหมายเลขเฟรมที่ระบุ กำหนดสตริงความคิดเห็นที่กำหนด สามารถทำซ้ำได้สำหรับ
หลายเฟรม ควรใช้เครื่องหมายคำพูดกับสตริงความคิดเห็นที่มีช่องว่าง
-A
บันทึกเฉพาะแพ็กเก็ตที่มีการประทับเวลาเปิดหรือหลังเวลาเริ่มต้น มีเวลาให้
ในรูปแบบต่อไปนี้ YYYY-MM-DD HH:MM:SS
-B
บันทึกเฉพาะแพ็กเก็ตที่มีการประทับเวลาก่อนเวลาหยุด เวลาจะได้รับใน
รูปแบบต่อไปนี้ YYYY-MM-DD HH:MM:SS
-ค
แยกเอาต์พุตแพ็กเก็ตเป็นไฟล์ต่างๆ ตามจำนวนแพ็กเก็ตที่เหมือนกันด้วย a
สูงสุดของ แต่ละ. แต่ละไฟล์เอาต์พุตจะถูกสร้างขึ้นด้วยคำต่อท้าย
-nnnnn เริ่มต้นด้วย 00000 หากจำนวนแพ็กเก็ตที่ระบุถูกเขียนไปที่
ไฟล์เอาต์พุต ไฟล์เอาต์พุตถัดไปจะเปิดขึ้น ค่าเริ่มต้นคือการใช้เอาต์พุตเดียว
ไฟล์
-C [ออฟเซ็ต:]
ตั้งค่าความยาวสับเพื่อใช้เมื่อเขียนข้อมูลแพ็กเก็ต แต่ละห่อถูกสับโดย
ไบต์ของข้อมูล ค่าบวกสับที่จุดเริ่มต้นของแพ็กเก็ตในขณะที่ค่าลบ
ค่าสับที่ปลายแพ็กเก็ต
หากออฟเซ็ตที่เป็นตัวเลือกนำหน้า จากนั้นไบต์ที่สับจะถูกชดเชย
จากค่านั้น ออฟเซ็ตที่เป็นบวกมาจากจุดเริ่มต้นของแพ็กเก็ตในขณะที่ค่าลบ
ออฟเซ็ตมาจากปลายแพ็กเก็ต
สิ่งนี้มีประโยชน์สำหรับการตัดส่วนหัวสำหรับการแยกแคปเจอร์ทั้งหมดออก การนำออก
ส่วนหัวของช่องสัญญาณหรือในกรณีที่หายากที่การแปลงระหว่างสองรูปแบบไฟล์
ปล่อยให้ไบต์สุ่มบางส่วนที่ส่วนท้ายของแต่ละแพ็กเก็ต การใช้งานอื่นสำหรับการลบ vlan
แท็ก
หมายเหตุ: ตัวเลือกนี้สามารถใช้ได้มากกว่าหนึ่งครั้ง ช่วยให้คุณสับไบต์ได้อย่างมีประสิทธิภาพ
จากพื้นที่ที่แตกต่างกันถึงสองส่วนของแพ็กเก็ตในบัตรผ่านเดียวโดยที่คุณระบุ
อย่างน้อยหนึ่งความยาวสับเป็นค่าบวกและอย่างน้อยหนึ่งอันเป็นค่าลบ
ความยาวสับบวกทั้งหมดจะถูกรวมเข้าด้วยกัน เช่นเดียวกับความยาวสับเป็นลบทั้งหมด
-d พยายามลบแพ็กเก็ตที่ซ้ำกัน ความยาวและแฮช MD5 ของแพ็กเก็ตปัจจุบัน
เปรียบเทียบกับสี่ (4) แพ็กเก็ตก่อนหน้า หากพบการจับคู่ปัจจุบัน
แพ็กเก็ตถูกข้าม ตัวเลือกนี้เทียบเท่ากับการใช้ตัวเลือก -D 5.
-D
ความพยายามที่จะลบแพ็กเก็ตที่ซ้ำกัน ความยาวและแฮช MD5 ของแพ็กเก็ตปัจจุบัน
เทียบกับครั้งก่อน - 1 ซอง. หากพบว่าตรงกัน
แพ็กเก็ตปัจจุบันถูกข้าม
การใช้ตัวเลือก -D 0 รวมกับ -v ตัวเลือกมีประโยชน์ในการที่แต่ละแพ็กเก็ต
หมายเลขแพ็คเก็ต Len และ MD5 Hash จะพิมพ์ออกมาเป็นมาตรฐาน ผลลัพธ์ที่ละเอียดนี้
(โดยเฉพาะสตริงแฮช MD5) อาจมีประโยชน์ในสคริปต์เพื่อระบุรายการที่ซ้ำกัน
แพ็กเก็ตข้ามไฟล์การติดตาม
ดิ ถูกระบุเป็นค่าจำนวนเต็มระหว่าง 0 ถึง 1000000 (รวม)
หมายเหตุ: ระบุขนาดใหญ่ ค่าที่มี tracefiles ขนาดใหญ่สามารถส่งผลอย่างมาก
เวลาดำเนินการนานสำหรับ แก้ไขแคป.
-E
ตั้งค่าความน่าจะเป็นที่ไบต์ในไฟล์เอาต์พุตจะถูกสุ่มเปลี่ยน แก้ไขแคป ใช้
ความน่าจะเป็นนั้น (รวมระหว่าง 0.0 ถึง 1.0) เพื่อใช้ข้อผิดพลาดกับแต่ละไบต์ข้อมูลใน
ไฟล์. ตัวอย่างเช่น ความน่าจะเป็น 0.02 หมายความว่าแต่ละไบต์มีโอกาส 2% ของ
มีข้อผิดพลาด
ตัวเลือกนี้มีขึ้นเพื่อใช้สำหรับตัวแยกโปรโตคอลการทดสอบแบบคลุมเครือ
-NS
ตั้งค่ารูปแบบไฟล์ของไฟล์จับภาพเอาต์พุต แก้ไขแคป สามารถเขียนไฟล์ใน
หลายรูปแบบ, แก้ไขแคป -F แสดงรายการรูปแบบเอาต์พุตที่พร้อมใช้งาน NS
ค่าเริ่มต้นคือ พีซีแคป จัดรูปแบบ
-h พิมพ์เวอร์ชันและตัวเลือกและออก
-ผม
แยกเอาต์พุตแพ็กเก็ตเป็นไฟล์ต่างๆ ตามช่วงเวลาที่เหมือนกันโดยใช้a
ช่วงเวลาสูงสุดของ แต่ละ. แต่ละไฟล์เอาต์พุตจะถูกสร้างขึ้นด้วย a
คำต่อท้าย -nnnnn เริ่มต้นด้วย 00000 หากแพ็กเก็ตสำหรับช่วงเวลาที่ระบุเป็น
เขียนไปยังไฟล์เอาต์พุต ไฟล์เอาต์พุตถัดไปจะเปิดขึ้น ค่าเริ่มต้นคือการใช้a
ไฟล์เอาต์พุตเดียว
-ผม
ละเว้นหมายเลขไบต์ที่ระบุที่จุดเริ่มต้นของเฟรมระหว่างแฮช MD5
การคำนวณ มีประโยชน์ในการลบแพ็กเก็ตที่ซ้ำกันที่ใช้กับเราเตอร์หลายตัว (แตกต่างกัน
ตัวอย่างเช่นที่อยู่ mac) เช่น -I 26 ในกรณีที่ Ether/IP/ จะละเว้น อีเทอร์(14) และ
ส่วนหัว IP(20 - 4(src ip) - 4(dst ip)) ค่าเริ่มต้นคือ 0
-L ปรับความยาวเฟรมเดิมให้เหมาะสมเมื่อสับและ/หรือหัก (in
นอกเหนือจากความยาวที่จับซึ่งจะถูกปรับเสมอโดยไม่คำนึงถึงว่า -L is
ระบุไว้หรือไม่) ดูสิ่งนี้ด้วย -C <choplen> และ -s <snaplen>.
-o
เมื่อใช้ร่วมกับ -E ให้ข้ามบางไบต์จากจุดเริ่มต้นของแพ็กเก็ตจาก
กำลังเปลี่ยนแปลง ด้วยวิธีนี้ ส่วนหัวบางส่วนจะไม่มีการเปลี่ยนแปลง และฟิวเซอร์ก็มีมากขึ้น
มุ่งเน้นไปที่ส่วนเล็ก ๆ ของแพ็กเก็ต การรักษาส่วนหนึ่งของแพ็กเก็ตคงที่เหมือนเดิม
dissector ถูกกระตุ้นซึ่งทำให้ fuzzing แม่นยำยิ่งขึ้น
-r ย้อนกลับการเลือกแพ็กเก็ต ทำให้เกิดแพ็กเก็ตที่มีการระบุหมายเลขแพ็กเก็ต
บนบรรทัดคำสั่งที่จะเขียนไปยังไฟล์ดักจับเอาต์พุต แทนที่จะละทิ้ง
พวกเขา
-NS
ตั้งค่าความยาวสแน็ปช็อตที่จะใช้เมื่อเขียนข้อมูล ถ้า -s ธงใช้เพื่อ
ระบุความยาวสแน็ปช็อต แพ็กเก็ตในไฟล์อินพุตที่มีข้อมูลที่ดักจับมากกว่า
ความยาวของสแน็ปช็อตที่ระบุจะมีเฉพาะจำนวนข้อมูลที่ระบุโดยสแน็ปช็อต
ความยาวที่เขียนไปยังไฟล์ที่ส่งออก
สิ่งนี้อาจมีประโยชน์หากโปรแกรมที่จะอ่านไฟล์เอาต์พุตไม่สามารถจัดการได้
แพ็กเก็ตที่ใหญ่กว่าขนาดที่กำหนด (เช่น เวอร์ชันของการสอดแนมใน Solaris
2.5.1 และ Solaris 2.6 ดูเหมือนจะปฏิเสธแพ็กเก็ตอีเทอร์เน็ตที่ใหญ่กว่ามาตรฐาน
อีเทอร์เน็ต MTU ทำให้ไม่สามารถจัดการกิกะบิตอีเทอร์เน็ตได้หาก jumbo
ใช้แพ็กเก็ต)
-S
เวลาจะปรับแพ็กเก็ตที่เลือกเพื่อให้แน่ใจว่ามีลำดับเวลาอย่างเข้มงวด
ดิ ค่าแสดงถึงวินาทีสัมพัทธ์ที่ระบุเป็น
[-]วินาที[.เศษส่วน วินาที].
เนื่องจากไฟล์จับภาพได้รับการประมวลผล เวลาที่แน่นอนของแต่ละแพ็กเก็ตคือ อาจ ปรับให้
เท่ากับหรือมากกว่าการประทับเวลาที่แน่นอนของแพ็กเก็ตก่อนหน้าขึ้นอยู่กับ
ค่า.
ถ้า ค่าเป็น 0 หรือมากกว่า (เช่น 0.000001) แล้ว เพียง แพ็คเก็ต
โดยจะมีการประทับเวลาน้อยกว่าแพ็กเก็ตก่อนหน้า เวลาประทับที่ปรับแล้ว
ค่าจะถูกกำหนดให้เท่ากับค่าประทับเวลาของแพ็กเก็ตก่อนหน้าบวกกับ
ค่าของ ค่า. อา ค่า 0
จะปรับจำนวนค่าประทับเวลาขั้นต่ำที่จำเป็นเพื่อให้แน่ใจว่า
ไฟล์การจับภาพที่ได้จะอยู่ในลำดับที่เข้มงวด
ถ้า ค่าถูกระบุเป็นค่าลบ จากนั้นประทับเวลา
ค่าของ ทั้งหมด แพ็กเก็ตจะถูกปรับให้เท่ากับค่าการประทับเวลาของ
แพ็กเก็ตก่อนหน้าบวกค่าสัมบูรณ์ของ ปรับเวลาอย่างเข้มงวด ค่า. อา
ค่า -0 จะส่งผลให้แพ็กเก็ตทั้งหมดมีการประทับเวลา
มูลค่าของแพ็กเก็ตแรก
คุณลักษณะนี้มีประโยชน์เมื่อไฟล์การสืบค้นกลับมีแพ็กเก็ตเป็นค่า negative . เป็นครั้งคราว
เวลาเดลต้าสัมพันธ์กับแพ็กเก็ตก่อนหน้า
-t
ตั้งค่าการปรับเวลาเพื่อใช้กับแพ็กเก็ตที่เลือก ถ้า -t ธงใช้เพื่อ
ระบุการปรับเวลา การปรับที่ระบุจะถูกนำไปใช้กับทั้งหมดที่เลือก
แพ็กเก็ตในไฟล์จับภาพ การปรับถูกระบุเป็น [-]วินาที[.เศษส่วน
วินาที]. ตัวอย่างเช่น, -t 3600 เลื่อนเวลาประทับบนแพ็กเก็ตที่เลือกล่วงหน้าหนึ่งชั่วโมง
ในขณะที่ -t -0.5 ลดการประทับเวลาบนแพ็กเก็ตที่เลือกลงครึ่งหนึ่งวินาที
คุณลักษณะนี้มีประโยชน์เมื่อซิงโครไนซ์การถ่ายโอนข้อมูลที่รวบรวมไว้ในเครื่องต่างๆ โดยที่
ความแตกต่างของเวลาระหว่างสองเครื่องเป็นที่รู้จักหรือสามารถประมาณได้
-T
ตั้งค่าประเภทการห่อหุ้มแพ็กเก็ตของไฟล์ดักจับเอาต์พุต ถ้า -T ใช้ธง
เพื่อระบุประเภทการห่อหุ้ม ชนิดการห่อหุ้มของไฟล์การจับเอาท์พุต
จะถูกบังคับตามประเภทที่กำหนด แก้ไขแคป -T ให้รายการที่มีอยู่
ประเภท ประเภทเริ่มต้นคือประเภทที่เหมาะสมกับประเภทการห่อหุ้มของอินพุต
ไฟล์จับภาพ
หมายเหตุ: นี่เป็นเพียงการบังคับให้ประเภทการห่อหุ้มของไฟล์เอาท์พุตเป็นข้อมูลที่ระบุ
พิมพ์; ส่วนหัวของแพ็กเก็ตจะไม่ถูกแปลจากการห่อหุ้ม
ประเภทของไฟล์ดักจับอินพุตไปยังประเภทการห่อหุ้มที่ระบุ (เช่น it
จะไม่แปลการดักจับอีเทอร์เน็ตเป็นการดักจับ FDDI ถ้าการดักจับอีเทอร์เน็ตคือ
อ่านและ '-T เอฟดีดี' ระบุไว้) หากคุณต้องการลบ/เพิ่มส่วนหัวจาก/ไปยังแพ็กเก็ต
คุณจะต้องการ od(1) /text2pcap(1)
-v สาเหตุ แก้ไขแคป เพื่อพิมพ์ข้อความอย่างละเอียดในขณะที่ทำงาน
การใช้งานของ -v ด้วยสวิตช์ขจัดความซ้ำซ้อนของ -d, -D or -w จะทำให้แฮช MD5 ทั้งหมด
จะพิมพ์ว่าแพ็กเก็ตถูกข้ามหรือไม่
-V พิมพ์เวอร์ชันและออก
-w
ความพยายามที่จะลบแพ็กเก็ตที่ซ้ำกัน เวลามาถึงของแพ็กเก็ตปัจจุบันจะถูกเปรียบเทียบ
ด้วยแพ็กเก็ตก่อนหน้ามากถึง 1000000 แพ็กเก็ต หากเวลามาถึงสัมพัทธ์ของแพ็กเก็ตคือ น้อยลง
กว่า or เท่ากัน ไปยัง ที่ ของแพ็กเก็ตก่อนหน้าและความยาวแพ็กเก็ตและ
แฮช MD5 ของแพ็กเก็ตปัจจุบันจะเหมือนกันกับแพ็กเก็ตที่จะข้าม สำเนา
การทดสอบเปรียบเทียบจะหยุดเมื่อเวลามาถึงที่สัมพันธ์กันของแพ็กเก็ตปัจจุบันมากกว่า
.
ดิ ถูกกำหนดเป็น วินาที[.เศษส่วน วินาที].
คอมโพเนนต์ [.fractional seconds] สามารถระบุเป็นทศนิยมเก้า (9) ตำแหน่ง
(หนึ่งในพันล้านของวินาที) แต่ไฟล์ติดตามทั่วไปส่วนใหญ่มีความละเอียดถึงหก (6)
ตำแหน่งทศนิยม (หนึ่งในล้านของวินาที)
หมายเหตุ: ระบุขนาดใหญ่ ค่าที่มีไฟล์ติดตามขนาดใหญ่สามารถส่งผลให้
เวลาดำเนินการนานมากสำหรับ แก้ไขแคป.
หมายเหตุ: ไฟล์ -w ตัวเลือกถือว่าแพ็กเก็ตอยู่ในลำดับเวลา ถ้า
แพ็กเก็ตไม่เรียงตามลำดับเวลาแล้ว -w ตัวเลือกการลบซ้ำอาจไม่
ระบุบางรายการที่ซ้ำกัน
ตัวอย่าง
หากต้องการดูคำอธิบายโดยละเอียดเพิ่มเติมของตัวเลือกให้ใช้:
แก้ไขแคป -h
ในการย่อขนาดไฟล์การจับภาพโดยตัดทอนแพ็คเก็ตที่ 64 ไบต์และเขียนเป็น Sun
การใช้ไฟล์สอดแนม:
แก้ไข cap -s 64 -F snoop capture.pcap shortcapture.snoop
ในการลบแพ็คเก็ต 1000 ออกจากไฟล์จับภาพให้ใช้:
แก้ไขแคปเจอร์ pcap sans1000.pcap 1000
ในการจำกัดไฟล์ดักจับเป็นแพ็กเก็ตจากหมายเลข 200 ถึง 750 (รวม) ให้ใช้:
แก้ไข cap -r capture.pcap small.pcap 200-750
ในการรับแพ็กเก็ตทั้งหมดจากหมายเลข 1-500 (รวม) ให้ใช้:
แก้ไข cap -r capture.pcap first500.pcap 1-500
or
แก้ไข capture.pcap first500.pcap 501-9999999
หากต้องการแยกแพ็กเก็ต 1, 5, 10 ถึง 20 และ 30 ถึง 40 จากไฟล์ใหม่ ให้ใช้:
editcap capture.pcap ไม่รวม.pcap 1 5 10-20 30-40
ในการเลือกเพียงแพ็กเก็ต 1, 5, 10 ถึง 20 และ 30 ถึง 40 สำหรับไฟล์ใหม่ให้ใช้:
แก้ไข cap -r capture.pcap เลือก pcap 1 5 10-20 30-40
ในการลบแพ็กเก็ตที่ซ้ำกันที่เห็นภายในสี่เฟรมก่อนหน้า ให้ใช้:
editcap -d capture.pcap deup.pcap
ในการลบแพ็กเก็ตที่ซ้ำกันที่เห็นภายใน 100 เฟรมก่อนหน้า ให้ใช้:
แก้ไข cap -D 101 capture.pcap dedup.pcap
หากต้องการลบแพ็กเก็ตที่ซ้ำกันที่เห็น เท่ากัน ไปยัง or น้อยลง กว่า 1/10 วินาที:
editcap -w 0.1 capture.pcap dedup.pcap
ในการแสดงแฮช MD5 สำหรับแพ็กเก็ตทั้งหมด (และไม่สร้างไฟล์เอาต์พุตจริง):
แก้ไข cap -v -D 0 capture.pcap /dev/null
หรือบนระบบ Windows
แก้ไข cap -v -D 0 capture.pcap NUL
ในการเลื่อนเวลาของแต่ละแพ็กเก็ตไปข้างหน้า 3.0827 วินาที:
editcap -t 3.0827 capture.pcap modified.pcap
เพื่อให้แน่ใจว่าการประทับเวลาทั้งหมดอยู่ในลำดับที่เข้มงวด:
editcap -S 0 capture.pcap ปรับแล้ว pcap
ในการแนะนำข้อผิดพลาดแบบสุ่ม 5% ในการใช้ไฟล์ดักจับ:
แก้ไข cap -E 0.05 capture.pcap capture_error.pcap
ในการลบแท็ก vlan ออกจากแพ็กเก็ตทั้งหมดภายในไฟล์ดักจับที่ห่อหุ้มอีเทอร์เน็ต ให้ใช้:
แก้ไข cap -L -C 12:4 capture_vlan.pcap capture_no_vlan.pcap
ในการตัดทั้งภูมิภาค 10 ไบต์และ 20 ไบต์จากแพ็กเก็ต 75 ไบต์ต่อไปนี้ในไฟล์เดียว
ผ่าน ใช้วิธีใดวิธีหนึ่งจาก 8 วิธีที่เป็นไปได้ที่ให้ไว้ด้านล่าง:
<----------------------------- 75 --------------------- -------->
+---+-------+-----------+--------------+--------- -----------+
- 5 | 10 | 15 | 20 | 25 |
+---+-------+-----------+--------------+--------- -----------+
1) editcap -C 5:10 -C -25:-20 capture.pcapสับ.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcapสับ.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcapสับ.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcapสับ.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcapสับ.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcapสับ.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcapสับ.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcapสับ.pcap
ในการเพิ่มสตริงความคิดเห็นให้กับเฟรมอินพุต 2 เฟรมแรก ให้ใช้:
editcap -a "เฟรมที่ 1:1" -a 2:Second capture.pcap capture-comments.pcap
ใช้ editcap ออนไลน์โดยใช้บริการ onworks.net