Ito ang command editcap na maaaring patakbuhin sa OnWorks na libreng hosting provider gamit ang isa sa aming maramihang libreng online na workstation gaya ng Ubuntu Online, Fedora Online, Windows online emulator o MAC OS online emulator
PROGRAMA:
NAME
editcap - I-edit at/o isalin ang format ng pagkuha ng mga file
SINOPSIS
editcap [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [offset:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] infile outfile [ packet#[-packet#] ... ]
editcap -d | -D | -w [ -v ] [ -I ]
infile outfile
editcap [ -V ]
DESCRIPTION
Editcap ay isang program na nagbabasa ng ilan o lahat ng mga nakuhang packet mula sa infile,
opsyonal na kino-convert ang mga ito sa iba't ibang paraan at isinusulat ang mga resultang packet sa pagkuha
outfile (o mga outfile).
Bilang default, binabasa nito ang lahat ng packet mula sa infile at isinulat ang mga ito sa outfile sa pcap
format ng file.
Ang isang opsyonal na listahan ng mga numero ng packet ay maaaring tukuyin sa command tail; indibidwal na pakete
ang mga numerong pinaghihiwalay ng whitespace at/o mga hanay ng mga numero ng packet ay maaaring tukuyin bilang
simula-dulo, na tumutukoy sa lahat ng packet mula sa simula sa dulo. Bilang default ang mga napiling packet
sa mga numerong iyon ay hindi isulat sa capture file. Kung ang -r ang bandila ay tinukoy,
ang buong pagpili ng packet ay baligtad; sa kasong iyon lamang ang mga napiling packet ay magiging
nakasulat sa capture file.
Editcap ay maaari ding gamitin upang alisin ang mga duplicate na packet. Maraming iba't ibang mga pagpipilian (-d, -D
at -w) ay ginagamit upang kontrolin ang packet window o relative time window na gagamitin
dobleng paghahambing.
Editcap ay maaaring gamitin upang magtalaga ng mga string ng komento sa mga numero ng frame.
Editcap ay nagagawang makakita, magbasa at magsulat ng parehong mga pagkuha ng mga file na sinusuportahan ng
Wireshark. Ang input file ay hindi nangangailangan ng isang partikular na extension ng filename; ang format ng file at
isang opsyonal na gzip compression ay awtomatikong makikita. Malapit sa simula ng
DESCRIPTION seksyon ng wireshark(1) o
ay isang detalyadong paglalarawan ng
paraan Wireshark pinangangasiwaan ito, na sa parehong paraan Editcap humahawak nito.
Editcap maaaring isulat ang file sa ilang mga format ng output. Ang -F flag ay maaaring gamitin upang tukuyin
ang format kung saan isusulat ang pagkuha ng file; editcap -F nagbibigay ng listahan ng mga magagamit
mga format ng output.
Opsyon
-a
Para sa tukoy na numero ng frame, italaga ang ibinigay na string ng komento. Maaaring ulitin para sa
maramihang mga frame. Dapat gamitin ang mga quote sa mga string ng komento na may kasamang mga puwang.
-A
Sine-save lamang ang mga packet na ang timestamp ay naka-on o pagkatapos ng oras ng pagsisimula. Ang oras ay binigay
sa sumusunod na format YYYY-MM-DD HH:MM:SS
-B
Sine-save lamang ang mga packet na ang timestamp ay bago ang oras ng paghinto. Ang oras ay ibinibigay sa
sumusunod na format YYYY-MM-DD HH:MM:SS
-c
Hinahati ang packet output sa iba't ibang file batay sa pare-parehong bilang ng packet na may a
maximum ng bawat isa. Ang bawat output file ay gagawin na may suffix
-nnnnn, simula sa 00000. Kung ang tinukoy na bilang ng mga packet ay isinulat sa
output file, mabubuksan ang susunod na output file. Ang default ay ang paggamit ng isang output
file.
-C [offset:]
Itinatakda ang haba ng chop na gagamitin kapag isinusulat ang packet data. Ang bawat pakete ay tinadtad ng
byte ng data. Ang mga positibong halaga ay pinutol sa packet simula habang negatibo
mga value chop sa dulo ng packet.
Kung ang isang opsyonal na offset ay nauuna sa , pagkatapos ay ma-offset ang mga byte na tinadtad
mula sa halagang iyon. Ang mga positibong offset ay mula sa simula ng packet, habang negatibo
ang mga offset ay mula sa dulo ng packet.
Ito ay kapaki-pakinabang para sa pagpuputol ng mga header para sa decapsulation ng isang buong pagkuha, pag-alis
tunneling header, o sa bihirang kaso na ang conversion sa pagitan ng dalawang format ng file
nag-iiwan ng ilang random na byte sa dulo ng bawat packet. Ang isa pang gamit ay para sa pagtanggal ng vlan
mga tag.
TANDAAN: Ang opsyong ito ay maaaring gamitin nang higit sa isang beses, na epektibong nagbibigay-daan sa iyong mag-chop ng mga byte
mula hanggang sa dalawang magkaibang bahagi ng isang packet sa isang pass basta't iyong tinukoy
hindi bababa sa isang chop length bilang positibong halaga at kahit isa bilang negatibong halaga.
Ang lahat ng positibong haba ng chop ay idinaragdag nang magkakasama tulad ng lahat ng negatibong haba ng chop.
-d Mga pagtatangkang tanggalin ang mga duplicate na packet. Ang haba at MD5 hash ng kasalukuyang packet
ay inihambing sa nakaraang apat (4) na pakete. Kung may nakitang tugma, ang kasalukuyang
packet ay nilaktawan. Ang pagpipiliang ito ay katumbas ng paggamit ng opsyon -D 5.
-D
Mga pagtatangkang tanggalin ang mga duplicate na packet. Ang haba at MD5 hash ng kasalukuyang packet
ay inihambing sa nauna - 1 pakete. Kung may nakitang tugma, ang
Nilaktawan ang kasalukuyang packet.
Ang paggamit ng opsyon -D 0 na kasama ng -v Ang opsyon ay kapaki-pakinabang sa bawat packet
Packet number, Len at MD5 Hash ay ipi-print sa standard out. Ang verbose output na ito
(partikular ang mga MD5 hash string) ay maaaring maging kapaki-pakinabang sa mga script upang matukoy ang duplicate
mga packet sa mga trace file.
Ang ay tinukoy bilang isang integer na halaga sa pagitan ng 0 at 1000000 (kasama).
TANDAAN: Tinutukoy ang malaki ang mga halaga na may malalaking tracefile ay maaaring magresulta sa napaka
mahabang panahon ng pagproseso para sa editcap.
-E
Itinatakda ang posibilidad na ang mga byte sa output file ay random na nabago. Editcap Gumagamit
ang posibilidad (sa pagitan ng 0.0 at 1.0 kasama) na maglapat ng mga error sa bawat byte ng data sa
ang file. Halimbawa, ang posibilidad na 0.02 ay nangangahulugan na ang bawat byte ay may 2% na pagkakataon ng
pagkakaroon ng error.
Ang opsyong ito ay nilalayong gamitin para sa mga dissector ng protocol sa pag-test ng fuzz.
-F
Itinatakda ang format ng file ng output capture file. Editcap maaaring isulat ang file sa
ilang mga format, editcap -F nagbibigay ng listahan ng mga magagamit na format ng output. Ang
default ay ang pcap format.
-h Ini-print ang bersyon at mga opsyon at paglabas.
-i
Hinahati ang packet output sa iba't ibang mga file batay sa magkatulad na agwat ng oras gamit ang a
maximum na pagitan ng bawat isa. Ang bawat output file ay malilikha gamit ang a
suffix -nnnnn, simula sa 00000. Kung ang mga packet para sa tinukoy na agwat ng oras ay
nakasulat sa output file, ang susunod na output file ay mabubuksan. Ang default ay ang paggamit ng a
solong output file.
-ako
Huwag pansinin ang tinukoy na numero ng byte sa simula ng frame sa panahon ng MD5 hash
pagkalkula Kapaki-pakinabang upang alisin ang mga dobleng packet na kinuha sa ilang mga router (iba't ibang
mac address halimbawa) hal -I 26 sa kaso ng Ether/IP/ ay papansinin eter(14) at
IP header(20 - 4(src ip) - 4(dst ip)). Ang default na halaga ay 0.
-L Ayusin ang orihinal na haba ng frame nang naaayon sa pagpuputol at/o pag-snap (sa
karagdagan sa nakuhang haba, na palaging inaayos kahit na -L is
tinukoy o hindi). Tingnan din -C <choplen> at -s <snaplen>.
-o
Kapag ginamit kasabay ng -E, laktawan ang ilang byte mula sa simula ng packet mula sa
binago. Sa ganitong paraan ang ilang mga header ay hindi nababago, at ang fuzzer ay higit pa
nakatutok sa mas maliit na bahagi ng packet. Ang pagpapanatiling isang bahagi ng packet ay naayos na pareho
na-trigger ang dissector, na ginagawang mas tumpak ang fuzzing.
-r Baliktarin ang pagpili ng packet. Nagiging sanhi ng mga packet na ang mga numero ng packet ay tinukoy
sa command line na isusulat sa output capture file, sa halip na itapon
Kanila.
-s
Itinatakda ang haba ng snapshot na gagamitin kapag isinusulat ang data. Kung ang -s nakasanayan na ng bandila
tukuyin ang haba ng snapshot, mga packet sa input file na may mas maraming nakuhang data kaysa sa
ang tinukoy na haba ng snapshot ay magkakaroon lamang ng dami ng data na tinukoy ng snapshot
haba na nakasulat sa output file.
Ito ay maaaring maging kapaki-pakinabang kung ang program na magbabasa ng output file ay hindi makayanan
mga packet na mas malaki kaysa sa isang tiyak na laki (halimbawa, ang mga bersyon ng snoop sa Solaris
Lumilitaw na tinatanggihan ng 2.5.1 at Solaris 2.6 ang mga Ethernet packet na mas malaki kaysa sa pamantayan
Ethernet MTU, ginagawa silang walang kakayahang pangasiwaan ang gigabit Ethernet captures kung jumbo
ginamit ang mga pakete).
-S
Oras ng pagsasaayos ng mga napiling packet upang matiyak ang mahigpit na pagkakasunod-sunod ng mga pangyayari.
Ang ang halaga ay kumakatawan sa mga kaugnay na segundo na tinukoy bilang
[-]segundo[.fractional segundo].
Habang pinoproseso ang capture file, ang ganap na oras ng bawat packet ay marahil nababagay para
ay katumbas ng o mas malaki kaysa sa absolute timestamp ng nakaraang packet depende sa
halaga.
Kung ang halaga ay 0 o mas mataas (hal. 0.000001) kung gayon lamang packet
na may timestamp na mas mababa kaysa sa nakaraang packet ay ia-adjust. Ang inayos na timestamp
ang halaga ay itatakda na katumbas ng timestamp na halaga ng nakaraang packet kasama ang
halaga ng halaga. A halaga ng 0
ay aayusin ang pinakamababang bilang ng mga halaga ng timestamp na kinakailangan upang matiyak na ang
Ang resultang pagkuha ng file ay nasa mahigpit na pagkakasunod-sunod ng mga pangyayari.
Kung ang halaga ay tinukoy bilang isang negatibong halaga, pagkatapos ay ang timestamp
mga halaga ng lahat ang mga packet ay isasaayos upang maging katumbas ng timestamp na halaga ng
nakaraang packet kasama ang ganap na halaga ng mahigpit na pagsasaayos ng oras halaga. A
halaga ng -0 ay magreresulta sa lahat ng mga packet na may timestamp
halaga ng unang pakete.
Ang tampok na ito ay kapaki-pakinabang kapag ang trace file ay may paminsan-minsang packet na may negatibo
delta time na may kaugnayan sa nakaraang packet.
-t
Itinatakda ang pagsasaayos ng oras na gagamitin sa mga napiling packet. Kung ang -t nakasanayan na ng bandila
tukuyin ang isang pagsasaayos ng oras, ang tinukoy na pagsasaayos ay ilalapat sa lahat ng napili
mga packet sa capture file. Ang pagsasaayos ay tinukoy bilang [-]segundo[.fractional
segundo]. Halimbawa, -t Inusulong ng 3600 ang timestamp sa mga napiling packet nang isang oras
habang -t -0.5 binabawasan ang timestamp sa mga napiling packet ng kalahating segundo.
Ang feature na ito ay kapaki-pakinabang kapag nagsi-synchronize ng mga dump na nakolekta sa iba't ibang machine kung saan
ang pagkakaiba ng oras sa pagitan ng dalawang makina ay kilala o maaaring tantiyahin.
-T
Itinatakda ang uri ng packet encapsulation ng output capture file. Kung ang -T ginagamit ang bandila
upang tumukoy ng uri ng encapsulation, ang uri ng encapsulation ng output capture file
ay pipilitin sa tinukoy na uri. editcap -T nagbibigay ng listahan ng mga magagamit
mga uri. Ang default na uri ay ang naaangkop sa uri ng encapsulation ng input
pagkuha ng file.
Tandaan: pinipilit lang nito ang uri ng encapsulation ng output file na maging tinukoy
uri; ang mga packet header ng mga packet ay hindi isasalin mula sa encapsulation
uri ng input capture file sa tinukoy na uri ng encapsulation (halimbawa, ito
ay hindi isasalin ang isang Ethernet capture sa isang FDDI capture kung ang isang Ethernet capture ay
Basahin at '-T fddi' ay tinukoy). Kung kailangan mong mag-alis/magdagdag ng mga header mula/sa isang packet,
kakailanganin mong od(1) /text2pcapNa (1).
-v Sanhi editcap upang mag-print ng mga verbose na mensahe habang ito ay gumagana.
Paggamit ng -v gamit ang mga de-duplication switch ng -d, -D or -w magiging sanhi ng lahat ng MD5 hash
na mai-print kung ang packet ay nilaktawan o hindi.
-V I-print ang bersyon at lumabas.
-w
Mga pagtatangkang tanggalin ang mga duplicate na packet. Ang kasalukuyang oras ng pagdating ng packet ay inihambing
na may hanggang 1000000 na mga nakaraang packet. Kung ang relatibong oras ng pagdating ng packet ay kulang
kaysa or kapantay sa ang ng isang nakaraang packet at ang haba ng packet at
Ang MD5 hash ng kasalukuyang packet ay pareho at ang packet na lalaktawan. Ang duplicate
Ang pagsubok sa paghahambing ay hihinto kapag ang kasalukuyang packet ng kaugnay na oras ng pagdating ay mas malaki kaysa sa
.
Ang ay tinukoy bilang segundo[.fractional segundo].
Ang bahagi ng [.fractional seconds] ay maaaring tukuyin sa siyam (9) na decimal na lugar
(ika-billionth ng isang segundo) ngunit karamihan sa mga karaniwang trace file ay may resolusyon hanggang anim (6)
mga decimal na lugar (millionths ng isang segundo).
TANDAAN: Tinutukoy ang malaki ang mga halaga na may malalaking tracefile ay maaaring magresulta sa
napakatagal na oras ng pagproseso para sa editcap.
TANDAAN: Ang -w Ipinapalagay ng opsyon na ang mga packet ay nasa chronological order. Kung ang
packets ay HINDI sa chronological order pagkatapos ay ang -w Ang opsyon sa pag-alis ng duplikasyon ay maaaring hindi
tukuyin ang ilang mga duplicate.
HALIMBAWA
Upang makakita ng mas detalyadong paglalarawan ng mga opsyon gamitin ang:
editcap -h
Upang paliitin ang capture file sa pamamagitan ng pagputol ng mga packet sa 64 bytes at pagsulat nito bilang Sun
paggamit ng snoop file:
editcap -s 64 -F snoop capture.pcap shortcapture.snoop
Upang tanggalin ang packet 1000 mula sa pagkuha ng file, gamitin ang:
editcap capture.pcap sans1000.pcap 1000
Upang limitahan ang isang capture file sa mga packet mula sa numero 200 hanggang 750 (kasama) gamitin ang:
editcap -r capture.pcap small.pcap 200-750
Upang makuha ang lahat ng packet mula sa numero 1-500 (kasama) gamitin ang:
editcap -r capture.pcap first500.pcap 1-500
or
editcap capture.pcap first500.pcap 501-9999999
Upang ibukod ang mga packet 1, 5, 10 hanggang 20 at 30 hanggang 40 mula sa bagong paggamit ng file:
editcap capture.pcap exclude.pcap 1 5 10-20 30-40
Upang pumili lamang ng mga packet 1, 5, 10 hanggang 20 at 30 hanggang 40 para sa bagong paggamit ng file:
editcap -r capture.pcap select.pcap 1 5 10-20 30-40
Upang alisin ang mga duplicate na packet na nakikita sa loob ng naunang apat na frame, gamitin ang:
editcap -d capture.pcap dedup.pcap
Upang alisin ang mga duplicate na packet na nakita sa loob ng naunang 100 frames, gamitin ang:
editcap -D 101 capture.pcap dedup.pcap
Upang alisin ang mga duplicate na packet na nakita kapantay sa or kulang kaysa 1/10th ng isang segundo:
editcap -w 0.1 capture.pcap dedup.pcap
Upang ipakita ang MD5 hash para sa lahat ng mga packet (at HINDI bumuo ng anumang tunay na output file):
editcap -v -D 0 capture.pcap /dev/null
o sa mga sistema ng Windows
editcap -v -D 0 capture.pcap NUL
Upang isulong ang mga timestamp ng bawat packet pasulong nang 3.0827 segundo:
editcap -t 3.0827 capture.pcap adjusted.pcap
Upang matiyak na ang lahat ng mga timestamp ay nasa mahigpit na pagkakasunod-sunod ng mga pangyayari:
editcap -S 0 capture.pcap adjusted.pcap
Upang ipakilala ang 5% na random na mga error sa isang pagkuha ng file, gamitin ang:
editcap -E 0.05 capture.pcap capture_error.pcap
Upang alisin ang mga vlan tag sa lahat ng packet sa loob ng isang Ethernet-encapsulated capture file, gamitin ang:
editcap -L -C 12:4 capture_vlan.pcap capture_no_vlan.pcap
Upang i-chop ang parehong 10 byte at 20 byte na rehiyon mula sa sumusunod na 75 byte packet sa isang solong
pumasa, gamitin ang alinman sa 8 posibleng paraan na ibinigay sa ibaba:
<--------------------------------------- 75 ---------------------- ------->
+---+-------+-----------+--------------+--------- ----------+
| 5 | 10 | 15 | 20 | 25 |
+---+-------+-----------+--------------+--------- ----------+
1) editcap -C 5:10 -C -25:-20 capture.pcap chopped.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcap chopped.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcap chopped.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcap chopped.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcap chopped.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcap chopped.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcap chopped.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcap chopped.pcap
Upang magdagdag ng mga string ng komento sa unang 2 input frame, gamitin ang:
editcap -a "1:1st frame" -a 2:Ikalawang capture.pcap capture-comments.pcap
Gumamit ng editcap online gamit ang mga serbisyo ng onworks.net
