editcap - Trực tuyến trên Đám mây

CHƯƠNG TRÌNH:

TÊN

editcap - Chỉnh sửa và / hoặc dịch định dạng của các tệp chụp

SYNOPSIS

biên tập [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [bù lại:] ] [ -E ]
[ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] trong tập tin ô uế [ gói số[-gói số] ...]

biên tập -d | -D | -w [ -v ] [ -I ]
trong tập tin ô uế

biên tập [ -V ]

MÔ TẢ

Chỉnh sửa là một chương trình đọc một số hoặc tất cả các gói được bắt từ trong tập tin,
tùy chọn chuyển đổi chúng theo nhiều cách khác nhau và ghi các gói kết quả vào bản chụp
ô uế (hoặc ngoại lai).

Theo mặc định, nó đọc tất cả các gói từ trong tập tin và viết chúng vào ô uế trong pcap
định dạng tệp.

Một danh sách các số gói tùy chọn có thể được chỉ định trên đuôi lệnh; gói cá nhân
các số được phân tách bằng khoảng trắng và / hoặc dải số gói có thể được chỉ định như
Bắt đầu-cuối, đề cập đến tất cả các gói từ Bắt đầu đến cuối. Theo mặc định, các gói đã chọn
với những con số đó sẽ không được ghi vào tệp chụp. Nếu -r cờ được chỉ định,
toàn bộ lựa chọn gói bị đảo ngược; trong trường hợp đó có thể các gói được chọn sẽ là
được ghi vào tệp chụp.

Chỉnh sửa cũng có thể được sử dụng để loại bỏ các gói tin trùng lặp. Một số tùy chọn khác nhau (-d, -D
và -w) được sử dụng để kiểm soát cửa sổ gói hoặc cửa sổ thời gian tương đối được sử dụng cho
so sánh trùng lặp.

Chỉnh sửa có thể được sử dụng để gán các chuỗi chú thích cho số khung.

Chỉnh sửa có thể phát hiện, đọc và ghi cùng một tệp chụp được hỗ trợ bởi
Wireshark. Tệp đầu vào không cần phần mở rộng tên tệp cụ thể; định dạng tệp và
một nén gzip tùy chọn sẽ được tự động phát hiện. Gần đầu
Phần DESCRIPTION của Wireshark(1) hoặc
là một mô tả chi tiết về
cách Wireshark xử lý điều này, đó là cách tương tự Chỉnh sửa xử lý điều này.

Chỉnh sửa có thể ghi tệp ở một số định dạng đầu ra. Các -F cờ có thể được sử dụng để chỉ định
định dạng để ghi tệp chụp; biên tập -F cung cấp một danh sách có sẵn
các định dạng đầu ra.

LỰA CHỌN

-Một
Đối với số khung cụ thể, hãy chỉ định chuỗi nhận xét đã cho. Có thể được lặp lại cho
nhiều khung. Dấu ngoặc kép nên được sử dụng với chuỗi nhận xét bao gồm dấu cách.

-MỘT
Chỉ lưu các gói có dấu thời gian trên hoặc sau thời gian bắt đầu. Thời gian được cho
ở định dạng sau YYYY-MM-DD HH: MM: SS

-B
Chỉ lưu các gói có dấu thời gian trước thời gian dừng. Thời gian được đưa ra trong
định dạng sau YYYY-MM-DD HH: MM: SS

-C
Tách đầu ra gói thành các tệp khác nhau dựa trên số lượng gói thống nhất với
tối đa mỗi. Mỗi tệp đầu ra sẽ được tạo với một hậu tố
-nnnnn, bắt đầu bằng 00000. Nếu số gói được chỉ định được ghi vào
tệp đầu ra, tệp đầu ra tiếp theo được mở. Mặc định là sử dụng một đầu ra duy nhất
tập tin.

-C [bù:]
Đặt độ dài nhỏ để sử dụng khi ghi dữ liệu gói. Mỗi gói được cắt nhỏ bởi
byte dữ liệu. Giá trị dương cắt ở đầu gói trong khi giá trị âm
giá trị cắt ở cuối gói.

Nếu một phần bù tùy chọn đứng trước , sau đó các byte được cắt nhỏ sẽ được bù đắp
từ giá trị đó. Hiệu số dương là từ đầu gói, trong khi âm
phần bù là từ phần cuối của gói tin.

Điều này rất hữu ích cho việc cắt các tiêu đề để giải mã toàn bộ ảnh chụp, loại bỏ
tiêu đề đường hầm hoặc trong trường hợp hiếm hoi là chuyển đổi giữa hai định dạng tệp
để lại một số byte ngẫu nhiên ở cuối mỗi gói. Một cách sử dụng khác là để loại bỏ vlan
thẻ.

LƯU Ý: Tùy chọn này có thể được sử dụng nhiều lần, cho phép bạn cắt các byte một cách hiệu quả
từ tối đa hai vùng khác nhau của gói trong một lần vượt qua với điều kiện bạn chỉ định
ít nhất một chiều dài đoạn cắt là giá trị dương và ít nhất một độ dài là giá trị âm.
Tất cả độ dài đoạn cắt dương được cộng lại với nhau như tất cả độ dài đoạn cắt âm.

-d Cố gắng loại bỏ các gói tin trùng lặp. Chiều dài và mã băm MD5 của gói hiện tại
được so sánh với bốn (4) gói trước đó. Nếu một kết quả phù hợp được tìm thấy, hiện tại
gói được bỏ qua. Tùy chọn này tương đương với việc sử dụng tùy chọn -D 5.

-D
Cố gắng loại bỏ các gói tin trùng lặp. Chiều dài và mã băm MD5 của gói hiện tại
được so với trước đó - 1 gói tin. Nếu một kết quả phù hợp được tìm thấy,
gói hiện tại bị bỏ qua.

Việc sử dụng tùy chọn -D 0 kết hợp với -v tùy chọn hữu ích trong đó mỗi gói
Số gói, Len và MD5 Hash sẽ được in theo tiêu chuẩn. Đầu ra dài dòng này
(đặc biệt là các chuỗi băm MD5) có thể hữu ích trong các tập lệnh để xác định bản sao
các gói trên các tệp theo dõi.

Các được chỉ định dưới dạng giá trị số nguyên từ 0 đến 1000000 (bao gồm).

LƯU Ý: Chỉ định lớn các giá trị với các tệp theo dõi lớn có thể dẫn đến rất
thời gian xử lý lâu cho biên tập.

-E
Đặt xác suất để các byte trong tệp đầu ra được thay đổi ngẫu nhiên. Chỉnh sửa sử dụng
xác suất đó (bao gồm từ 0.0 đến 1.0) để áp dụng lỗi cho mỗi byte dữ liệu trong
tập tin. Ví dụ: xác suất 0.02 có nghĩa là mỗi byte có 2% cơ hội
gặp lỗi.

Tùy chọn này được sử dụng cho các trình phân tách giao thức kiểm tra lông tơ.

-NS
Đặt định dạng tệp của tệp chụp đầu ra. Chỉnh sửa có thể ghi tệp vào
một số định dạng, biên tập -F cung cấp danh sách các định dạng đầu ra có sẵn. Các
mặc định là mũ định dạng.

-h In phiên bản và các tùy chọn và thoát.

-tôi
Tách đầu ra gói thành các tệp khác nhau dựa trên các khoảng thời gian đồng nhất bằng cách sử dụng
khoảng thời gian tối đa của mỗi. Mỗi tệp đầu ra sẽ được tạo với một
hậu tố -nnnnn, bắt đầu bằng 00000. Nếu các gói trong khoảng thời gian được chỉ định là
được ghi vào tệp đầu ra, tệp đầu ra tiếp theo được mở. Mặc định là sử dụng
tệp đầu ra duy nhất.

-TÔI
Bỏ qua số byte được chỉ định ở đầu khung trong quá trình băm MD5
tính toán Hữu ích để loại bỏ các gói tin trùng lặp được thực hiện trên một số bộ định tuyến (khác biệt
địa chỉ mac chẳng hạn) ví dụ: -I 26 trong trường hợp Ether / IP / sẽ bỏ qua ether(14)
Tiêu đề IP (20 - 4 (src ip) - 4 (dst ip)). Giá trị mặc định là 0.

-L Điều chỉnh độ dài khung ban đầu cho phù hợp khi cắt và / hoặc chụp (trong
bổ sung cho chiều dài đã chụp, luôn được điều chỉnh bất kể -L is
chỉ định hoặc không). Xem thêm -C <choplen> và -s <chụp nhanh>.

-o
Khi được sử dụng trong liên từ với -E, hãy bỏ qua một số byte từ đầu gói từ
đang bị thay đổi. Bằng cách này, một số tiêu đề không bị thay đổi và bộ làm mờ nhiều hơn
tập trung vào một phần nhỏ hơn của gói tin. Giữ nguyên một phần của gói tin
máy mổ xẻ được kích hoạt, làm cho quá trình mờ chính xác hơn.

-r Đảo ngược lựa chọn gói tin. Gây ra các gói có số gói được chỉ định
trên dòng lệnh được ghi vào tệp chụp đầu ra, thay vì loại bỏ
Chúng.

-NS
Đặt độ dài ảnh chụp nhanh để sử dụng khi ghi dữ liệu. Nếu -s cờ được sử dụng để
chỉ định độ dài ảnh chụp nhanh, các gói trong tệp đầu vào với nhiều dữ liệu được chụp hơn
độ dài ảnh chụp nhanh được chỉ định sẽ chỉ có lượng dữ liệu được chỉ định bởi ảnh chụp nhanh
độ dài được ghi vào tệp đầu ra.

Điều này có thể hữu ích nếu chương trình đọc tệp đầu ra không thể xử lý
các gói lớn hơn một kích thước nhất định (ví dụ: các phiên bản của snoop trong Solaris
2.5.1 và Solaris 2.6 dường như từ chối các gói Ethernet lớn hơn tiêu chuẩn
Ethernet MTU, khiến chúng không có khả năng xử lý việc bắt Ethernet gigabit nếu jumbo
gói tin đã được sử dụng).

-S
Thời gian điều chỉnh các gói đã chọn để đảm bảo thứ tự thời gian nghiêm ngặt.

Các giá trị đại diện cho số giây tương đối được chỉ định là
[-]giây[.phân số giây].

Khi tệp chụp được xử lý, thời gian tuyệt đối của mỗi gói là có thể điều chỉnh
bằng hoặc lớn hơn dấu thời gian tuyệt đối của gói trước đó tùy thuộc vào
giá trị.

Nếu như giá trị là 0 hoặc lớn hơn (ví dụ: 0.000001) thì có thể gói
với dấu thời gian nhỏ hơn gói trước đó sẽ được điều chỉnh. Dấu thời gian đã điều chỉnh
giá trị sẽ được đặt bằng giá trị dấu thời gian của gói trước đó cộng với
giá trị của giá trị. MỘT giá trị của 0
sẽ điều chỉnh số lượng giá trị dấu thời gian tối thiểu cần thiết để đảm bảo rằng
kết quả là tập tin chụp theo thứ tự thời gian nghiêm ngặt.

Nếu như giá trị được chỉ định là giá trị âm, sau đó là dấu thời gian
giá trị của tất cả các các gói sẽ được điều chỉnh để bằng với giá trị dấu thời gian của
gói trước cộng với giá trị tuyệt đối của điều chỉnh thời gian nghiêm ngặt giá trị. MỘT
giá trị -0 sẽ dẫn đến tất cả các gói có dấu thời gian
giá trị của gói đầu tiên.

Tính năng này rất hữu ích khi tệp theo dõi thỉnh thoảng có một gói dữ liệu âm
thời gian delta so với gói trước đó.

-t
Đặt điều chỉnh thời gian để sử dụng trên các gói đã chọn. Nếu -t cờ được sử dụng để
chỉ định điều chỉnh thời gian, điều chỉnh đã chỉ định sẽ được áp dụng cho tất cả những người đã chọn
các gói trong tệp chụp. Điều chỉnh được chỉ định là [-]giây[.phân số
giây]. Ví dụ, -t 3600 nâng cao dấu thời gian trên các gói đã chọn lên một giờ
trong khi -t -0.5 giảm dấu thời gian trên các gói đã chọn đi một nửa giây.

Tính năng này rất hữu ích khi đồng bộ hóa bãi chứa được thu thập trên các máy khác nhau, nơi
Sự khác biệt về thời gian giữa hai máy đã được biết trước hoặc có thể ước tính được.

-T
Đặt kiểu đóng gói gói của tệp chụp đầu ra. Nếu -T cờ được sử dụng
để chỉ định kiểu đóng gói, kiểu đóng gói của tệp chụp đầu ra
sẽ bị buộc vào loại được chỉ định. biên tập -T cung cấp một danh sách có sẵn
các loại. Kiểu mặc định là kiểu phù hợp với kiểu đóng gói của đầu vào
chụp tập tin.

Lưu ý: điều này chỉ buộc kiểu đóng gói của tệp đầu ra phải được chỉ định
loại; các tiêu đề gói của các gói sẽ không được dịch từ quá trình đóng gói
loại tệp chụp đầu vào thành kiểu đóng gói được chỉ định (ví dụ: nó
sẽ không chuyển một chụp Ethernet sang một chụp FDDI nếu một chụp Ethernet là
đọc và '-T fddi' được quy định). Nếu bạn cần xóa / thêm tiêu đề khỏi / vào một gói,
bạn sẽ cần od(1) /văn bản2pcap(1).

-v Nguyên nhân biên tập để in các tin nhắn dài trong khi nó đang hoạt động.

sử dụng -v với các công tắc khử trùng lặp của -d, -D or -w sẽ gây ra tất cả các băm MD5
được in cho dù gói có bị bỏ qua hay không.

-V in phiên bản và thoát.

-w
Cố gắng loại bỏ các gói tin trùng lặp. Thời gian đến của gói hiện tại được so sánh
với tối đa 1000000 gói trước đó. Nếu thời gian đến tương đối của gói là ít
hơn or như nhau đến các của một gói trước đó và độ dài gói và
MD5 băm của gói hiện tại giống nhau sau đó gói bị bỏ qua. Bản sao
kiểm tra so sánh dừng khi thời gian đến tương đối của gói hiện tại lớn hơn
.

Các được chỉ định là giây[.phân số giây].

Thành phần [.fractional seconds] có thể được chỉ định thành chín (9) chữ số thập phân
(phần tỷ giây) nhưng hầu hết các tệp theo dõi điển hình đều có độ phân giải đến sáu (6)
vị trí thập phân (phần triệu giây).

LƯU Ý: Chỉ định lớn giá trị với các tệp theo dõi lớn có thể dẫn đến
thời gian xử lý rất lâu cho biên tập.

LƯU Ý: -w tùy chọn giả định rằng các gói theo thứ tự thời gian. Nếu
các gói KHÔNG theo thứ tự thời gian thì -w tùy chọn loại bỏ trùng lặp có thể không
xác định một số bản sao.

VÍ DỤ

Để xem mô tả chi tiết hơn về các tùy chọn sử dụng:

chỉnh sửa -h

Cách thu nhỏ tệp chụp bằng cách cắt ngắn các gói ở 64 byte và viết nó là Sun
sử dụng tệp snoop:

editcap -s 64 -F snoop capture.pcap shortcapture.snoop

Để xóa gói 1000 khỏi tệp chụp, hãy sử dụng:

chụp editcap.pcap sans1000.pcap 1000

Để giới hạn tệp chụp thành các gói từ số 200 đến 750 (bao gồm cả), hãy sử dụng:

editcap -r capture.pcap nhỏ.pcap 200-750

Để nhận tất cả các gói từ số 1-500 (bao gồm), hãy sử dụng:

editcap -r capture.pcap first500.pcap 1-500

or

editcap cap.pcap first500.pcap 501-9999999

Để loại trừ các gói 1, 5, 10 đến 20 và 30 đến 40 khỏi tệp mới, hãy sử dụng:

editcap capture.pcaplude.pcap 1 5 10-20 30-40

Để chỉ chọn các gói 1, 5, 10 đến 20 và 30 đến 40 cho việc sử dụng tệp mới:

editcap -r capture.pcap select.pcap 1 5 10-20 30-40

Để loại bỏ các gói tin trùng lặp được thấy trong bốn khung hình trước đó, hãy sử dụng:

editcap -d capture.pcap decup.pcap

Để loại bỏ các gói tin trùng lặp được thấy trong 100 khung hình trước đó, hãy sử dụng:

editcap -D 101 capture.pcap decup.pcap

Để loại bỏ các gói tin trùng lặp được nhìn thấy như nhau đến or ít hơn 1/10 giây:

editcap -w 0.1 capture.pcap decup.pcap

Để hiển thị băm MD5 cho tất cả các gói (và KHÔNG tạo bất kỳ tệp đầu ra thực nào):

editcap -v -D 0 capture.pcap / dev / null

hoặc trên hệ thống Windows

editcap -v -D 0 cap.pcap NUL

Để tăng dấu thời gian của mỗi gói về phía trước 3.0827 giây:

editcap -t 3.0827 capture.pcap Adjust.pcap

Để đảm bảo tất cả các dấu thời gian đều theo thứ tự thời gian nghiêm ngặt:

editcap -S 0 capture.pcap Adjust.pcap

Để đưa ra lỗi ngẫu nhiên 5% trong một tệp chụp, hãy sử dụng:

editcap -E 0.05 capture.pcap capture_error.pcap

Để xóa thẻ vlan khỏi tất cả các gói trong tệp chụp được đóng gói Ethernet, hãy sử dụng:

editcap -L -C 12: 4 capture_vlan.pcap capture_no_vlan.pcap

Để cắt cả hai vùng 10 byte và 20 byte từ gói 75 byte sau trong một gói
vượt qua, sử dụng bất kỳ phương pháp nào trong số 8 phương pháp có thể được cung cấp bên dưới:

<--------------------------- 75 --------------------- ------->

+ --- + ------- + ----------- + --------------- + --------- ---------- +
| 5 | 10 | 15 | 20 | 25 |
+ --- + ------- + ----------- + --------------- + --------- ---------- +

1) chỉnh sửa -C 5:10 -C -25: -20 chụp. Chụp cắt nhỏ.pcap
2) chỉnh sửa -C 5:10 -C 50: -20 chụp. Chụp cắt nhỏ.pcap
3) editcap -C -70: 10 -C -25: -20 chụp. Chụp cắt nhỏ.pcap
4) chỉnh sửa -C -70: 10 -C 50: -20 chụp. Chụp cắt nhỏ.pcap
5) chỉnh sửa -C 30:20 -C -60: -10 chụp. Chụp cắt nhỏ.pcap
6) chỉnh sửa -C 30:20 -C 15: -10 chụp. Chụp cắt nhỏ.pcap
7) editcap -C -45: 20 -C -60: -10 chụp. Chụp cắt nhỏ.pcap
8) chỉnh sửa -C -45: 20 -C 15: -10 chụp. Chụp cắt nhỏ.pcap

Để thêm chuỗi nhận xét vào 2 khung đầu vào đầu tiên, hãy sử dụng:

editcap -a "1: 1st frame" -a 2: Second capture.pcap capture-comments.pcap

Sử dụng bản chỉnh sửa trực tuyến bằng các dịch vụ onworks.net