Це команда editcap, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн- емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
editcap - редагувати та/або перекладати формат файлів захоплення
СИНТАКСИС
editcap [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [зміщення:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] infile вихідний файл [ пакет №[-пакет №] ... ]
editcap -d | -D | -w [ -v ] [ -I ]
infile вихідний файл
editcap [ -V ]
ОПИС
Editcap це програма, яка зчитує деякі або всі захоплені пакети з infile,
необов'язково перетворює їх різними способами та записує отримані пакети для захоплення
вихідний файл (або вихідні файли).
За замовчуванням він читає всі пакети з файлу infile і записує їх до вихідний файл в pcap
формат файлу
Додатковий список номерів пакетів можна вказати в хвості команди; індивідуальний пакет
числа, розділені пробілами та/або діапазони номерів пакетів, можуть бути вказані як
старт-кінець, посилаючись на всі пакети від старт до кінець. За замовчуванням вибрані пакети
з цими цифрами буде НЕ бути записано у файл захоплення. Якщо -r вказано прапор,
весь вибір пакета змінюється; в такому разі тільки вибрані пакети будуть
записується у файл захоплення.
Editcap також можна використовувати для видалення дублікатів пакетів. Кілька різних варіантів (-d, -D
та -w) використовуються для керування вікном пакету або вікном відносного часу, яке буде використовуватися
повторне порівняння.
Editcap можна використовувати для призначення рядків коментарів номерам кадрів.
Editcap здатний виявляти, читати та записувати ті самі файли захоплення, які підтримуються
Wireshark. Вхідний файл не потребує спеціального розширення імені файлу; формат файлу і
додаткове стиснення gzip буде автоматично виявлено. Близько початку с
ОПИС розділу Wireshark(1) або
є детальним описом
шлях Wireshark справляється з цим, таким же чином Editcap впорається з цим.
Editcap може записати файл у кількох вихідних форматах. The -F прапор може використовуватися для вказівки
формат, у якому записувати файл захоплення; editcap -F надає список доступних
вихідні формати.
ВАРІАНТИ
-а
Для зазначеного номера кадру призначте даний рядок коментаря. Можна повторити для
кілька кадрів. Лапки слід використовувати з рядками коментарів, які містять пробіли.
-А
Зберігає лише ті пакети, чия мітка часу на момент початку або пізніше. Час дається
у такому форматі РРРР-ММ-ДД ГГ:ММ:СС
-Б
Зберігає лише ті пакети, мітка часу яких стоїть перед часом зупинки. Час вказано в
у такому форматі РРРР-ММ-ДД ГГ:ММ:СС
-c
Розділяє вихідний пакет пакетів на різні файли на основі рівномірної кількості пакетів за допомогою a
максимум кожен. Кожен вихідний файл буде створено із суфіксом
-nnnnn, починаючи з 00000. Якщо вказана кількість пакетів записується в файл
вихідний файл, відкривається наступний вихідний файл. За замовчуванням використовується один вихід
файлу.
-C [зміщення:]
Встановлює довжину перерізу для використання під час запису пакетних даних. Кожен пакет подрібнюється
байти даних. Позитивні значення обриваються на початку пакета, а негативні
значення chop на кінці пакета.
Якщо додаткове зміщення передує , тоді порізані байти будуть зміщені
від цього значення. Позитивні зміщення від початку пакета, а негативні
зміщення від кінця пакета.
Це корисно для порізання заголовків для декапсуляції всього захоплення, видалення
тунелювання заголовків або, у рідкісних випадках, перетворення між двома форматами файлів
залишає кілька випадкових байтів у кінці кожного пакета. Інше використання - видалення vlan
теги.
ПРИМІТКА. Цю опцію можна використовувати кілька разів, ефективно дозволяючи подрібнювати байти
з двох різних областей пакета за один прохід, якщо ви вказали
принаймні одна довжина відрізу як додатне значення і принаймні одна як від'ємне значення.
Усі додатні довжини відрізання додаються разом, як і всі негативні довжини відрізання.
-d Спроба видалити дублікати пакетів. Довжина та хеш MD5 поточного пакета
порівнюються з попередніми чотирма (4) пакетами. Якщо збіг знайдено, поточний
пакет пропущено. Ця опція еквівалентна використанню параметра -D 5.
-D
Спроби видалити дублікати пакетів. Довжина та хеш MD5 поточного пакета
порівнюються з попередніми - 1 пакет. Якщо збіг знайдено, то
поточний пакет пропущено.
Використання опції -D 0 в поєднанні з -v Опція корисна тим, що кожен пакет
Номер пакета, Len і хеш MD5 будуть надруковані у стандартному форматі. Цей докладний висновок
(зокрема, хеш-рядки MD5) можуть бути корисними в сценаріях для виявлення дублікатів
пакетів у файлах трасування.
The задається як ціле значення від 0 до 1000000 (включно).
ПРИМІТКА. Вказати великий значення з великими файлами трасування можуть призвести до дуже
тривалий час обробки для editcap.
-Е
Встановлює ймовірність випадкової зміни байтів у вихідному файлі. Editcap використовує
що ймовірність (від 0.0 до 1.0 включно) застосувати помилки до кожного байту даних у
файл. Наприклад, ймовірність 0.02 означає, що кожен байт має шанс 2%.
наявність помилки.
Ця опція призначена для використання для диссекторів протоколу fuzz-тестування.
-Ф
Встановлює формат файлу вихідного файлу захоплення. Editcap можна записати файл
декілька форматів, editcap -F надає список доступних вихідних форматів. The
за замовчуванням є палка Формат.
-h Друк версії та параметрів і вихід.
-я
Розділяє вихідний пакет на різні файли на основі однакових інтервалів часу за допомогою a
максимальний інтервал кожен. Кожен вихідний файл буде створено за допомогою a
суфікс -nnnnn, починаючи з 00000. Якщо пакети за вказаний інтервал часу
записаний у вихідний файл, відкривається наступний вихідний файл. За замовчуванням використовується a
один вихідний файл.
-Я
Ігноруйте вказане число байтів на початку кадру під час хешування MD5
обчислення Корисно для видалення дубльованих пакетів, прийнятих на кількох маршрутизаторах (різн
mac-адреси, наприклад), наприклад -I 26 у випадку Ether/IP/ буде ігноруватися ефір(14) і
IP-заголовок (20 - 4 (src ip) - 4 (dst ip)). Значення за замовчуванням – 0.
-L Відрегулюйте початкову довжину рамки відповідно до нарізки та/або замикання (в
додаток до захопленої довжини, яка завжди коригується незалежно від того, чи -L is
вказано чи ні). Дивись також -C <choplen> і -s <snaplen>.
-о
У поєднанні з -E пропускайте кілька байтів з початку пакета з
змінюється. Таким чином, деякі заголовки не змінюються, а фаззер стає більше
зосереджено на меншій частині пакета. Залишити частину пакета фіксованою
спрацьовує дисектор, що робить фаззінг більш точним.
-r Змінити вибір пакета. Викликає пакети, номери пакетів яких вказані
у командному рядку, який буде записаний у вихідний файл захоплення замість відкидання
Ними.
-s
Встановлює довжину знімка для використання під час запису даних. Якщо -s прапор звик
вкажіть довжину знімка, пакети у вхідному файлі з більшою кількістю захоплених даних, ніж
зазначена довжина знімка матиме лише ту кількість даних, яку вказує знімок
довжина, записана у вихідний файл.
Це може бути корисно, якщо програма, яка читає вихідний файл, не може обробити
пакети, більші за певний розмір (наприклад, версії snoop в Solaris
2.5.1 і Solaris 2.6, схоже, відхиляють пакети Ethernet, більші за стандарт
Ethernet MTU, що робить їх нездатними обробляти гігабітні Ethernet-захоплення, якщо jumbo
були використані пакети).
-С
Час відрегулюйте вибрані пакети, щоб забезпечити суворий хронологічний порядок.
The значення представляє відносні секунди, зазначені як
[-]seconds[.дробовий seconds].
Під час обробки файлу захоплення абсолютний час кожного пакета становить можливо доводять до
бути рівним або більшим за абсолютну позначку часу попереднього пакета залежно від
значення.
Якщо значення дорівнює 0 або більше (наприклад, 0.000001). тільки пакети
з міткою часу, меншою за попередній пакет, буде налаштовано. Відкоригована позначка часу
значення буде встановлено рівним значенню позначки часу попереднього пакета плюс
значення значення. А значення 0
налаштує мінімальну кількість значень часових позначок, необхідних для того, щоб
отриманий файл захоплення знаходиться в строгому хронологічному порядку.
Якщо значення вказується як від'ємне значення, потім мітка часу
значення всі пакети будуть налаштовані так, щоб вони дорівнювали значенню часової позначки
попередній пакет плюс абсолютне значення суворе коригування часу значення. А
значення -0 призведе до того, що всі пакети будуть мати позначку часу
значення першого пакета.
Ця функція корисна, коли у файлі трасування є випадковий пакет з негативом
дельта-час відносно попереднього пакета.
-т
Встановлює коригування часу для вибраних пакетів. Якщо -t прапор звик
вкажіть коригування часу, зазначене коригування буде застосовано до всіх вибраних
пакетів у файлі захоплення. Коригування вказано як [-]seconds[.дробовий
seconds]. Наприклад, -t 3600 пересуває мітку часу для вибраних пакетів на одну годину
в той час як -t -0.5 зменшує мітку часу на вибраних пакетах на півсекунди.
Ця функція корисна при синхронізації дампів, зібраних на різних машинах, де
різниця в часі між двома машинами відома або може бути оцінена.
-Т
Встановлює тип інкапсуляції пакетів вихідного файлу захоплення. Якщо -T використовується прапор
щоб вказати тип інкапсуляції, тип інкапсуляції вихідного файлу захоплення
буде примусово до вказаного типу. editcap -T надає список доступних
типи. Тип за замовчуванням відповідає типу інкапсуляції введення
файл захоплення.
Примітка: це просто змушує вказати тип інкапсуляції вихідного файлу
тип; заголовки пакетів не будуть перекладені з інкапсуляції
тип вхідного файлу захоплення до вказаного типу інкапсуляції (наприклад, it
не переведе захоплення Ethernet у захоплення FDDI, якщо захоплення Ethernet є
читати і '-T fddi' вказано). Якщо вам потрібно видалити/додати заголовки з/до пакета,
Ви будете потребувати od(1) /text2pcap(1).
-v Причини editcap для друку докладних повідомлень під час його роботи.
Використання -v з перемикачами дедуплікації -d, -D or -w спричинить усі хеші MD5
для друку, незалежно від того, пропущено пакет чи ні.
-V Роздрукувати версію та вийти.
-w
Спроби видалити дублікати пакетів. Порівнюється час прибуття поточного пакета
з до 1000000 попередніх пакетів. Якщо відносний час прибуття пакета дорівнює менше
ніж or рівним до в попереднього пакета та довжини пакета та
Хеш MD5 поточного пакета такий самий, як і пакет, який потрібно пропустити. Дублікат
Тест порівняння припиняється, коли відносний час прибуття поточного пакета перевищує
.
The вказано як seconds[.дробовий seconds].
Компонент [.fractional seconds] можна вказати до дев’яти (9) знаків після коми
(мільярдні частки секунди), але більшість типових файлів трасування мають роздільну здатність до шести (6)
знаки після коми (мільйонні частки секунди).
ПРИМІТКА. Вказати великий значення з великими файлами трасування можуть призвести до
дуже тривалий час обробки для editcap.
ПРИМІТКА -w Опція передбачає, що пакети розташовані в хронологічному порядку. Якщо
пакети НЕ в хронологічному порядку, то -w варіант видалення дублікатів не може бути
визначити деякі дублікати.
ПРИКЛАДИ
Щоб переглянути більш детальний опис параметрів, скористайтеся:
editcap -h
Щоб зменшити файл захоплення, обрізавши пакети до 64 байт і записавши його як Sun
використання файлу snoop:
editcap -s 64 -F snoop capture.pcap shortcapture.snoop
Щоб видалити пакет 1000 з файлу захоплення, використовуйте:
editcap capture.pcap sans1000.pcap 1000
Щоб обмежити файл захоплення пакетами від 200 до 750 (включно), використовуйте:
editcap -r capture.pcap small.pcap 200-750
Щоб отримати всі пакети з номерів 1-500 (включно), використовуйте:
editcap -r capture.pcap first500.pcap 1-500
or
editcap capture.pcap first500.pcap 501-9999999
Щоб виключити пакети 1, 5, 10-20 і 30-40 з нового файлу, використовуйте:
editcap capture.pcap exclude.pcap 1 5 10-20 30-40
Щоб вибрати лише пакети 1, 5, 10-20 і 30-40 для нового файлу, використовуйте:
editcap -r capture.pcap select.pcap 1 5 10-20 30-40
Щоб видалити дублікати пакетів, які бачили в попередніх чотирьох кадрах, використовуйте:
editcap -d capture.pcap dedup.pcap
Щоб видалити дублікати пакетів, які бачили в попередніх 100 кадрах, скористайтеся:
editcap -D 101 capture.pcap dedup.pcap
Щоб видалити дублікати побачених пакетів рівним до or менше ніж 1/10 секунди:
editcap -w 0.1 capture.pcap dedup.pcap
Щоб відобразити хеш MD5 для всіх пакетів (і НЕ генерувати реальний вихідний файл):
editcap -v -D 0 capture.pcap /dev/null
або в системах Windows
editcap -v -D 0 capture.pcap NUL
Щоб пересунути часові позначки кожного пакета вперед на 3.0827 секунди:
editcap -t 3.0827 capture.pcap adjusted.pcap
Щоб усі позначки часу були в строгому хронологічному порядку:
editcap -S 0 capture.pcap adjusted.pcap
Щоб додати 5% випадкових помилок у файл захоплення, використовуйте:
editcap -E 0.05 capture.pcap capture_error.pcap
Щоб видалити теги vlan з усіх пакетів у файлі захоплення, інкапсульованого Ethernet, використовуйте:
editcap -L -C 12:4 capture_vlan.pcap capture_no_vlan.pcap
Щоб вирізати 10-байтну та 20-байтну області з наступного 75-байтового пакета в одному
пройдіть, використовуйте будь-який з 8 можливих методів, наведених нижче:
<-------------------------- 75 --------------------- ------->
+---+-------+-----------+--------------+--------- ----------+
| 5 | 10 | 15 | 20 | 25 |
+---+-------+-----------+--------------+--------- ----------+
1) editcap -C 5:10 -C -25:-20 capture.pcap chopped.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcap chopped.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcap chopped.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcap chopped.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcap chopped.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcap chopped.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcap chopped.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcap chopped.pcap
Щоб додати рядки коментарів до перших 2 вхідних кадрів, використовуйте:
editcap -a "1: 1-й кадр" -a 2: Другий capture.pcap capture-comments.pcap
Використовуйте editcap онлайн за допомогою служб onworks.net
