这是可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行的命令 editcap,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
editcap - 编辑和/或转换捕获文件的格式
概要
编辑帽 [ -a ] [ -A ] [ -B ]
[ -c ] [ -C [抵消:] ] [ -E ]
[ -F ] [ -h [ -i ] [ -o ] [ -L [ -r ]
[ -s ] [ -S ] [ -t ]
[ -T ] [ -v ] 入档 输出文件 [ 包#[-包#] ...]
编辑帽 -d | -D | -w [ -v [ -I ]
入档 输出文件
编辑帽 [ -V ]
商品描述
编辑帽 是一个从数据包中读取部分或全部捕获数据包的程序 入档,
可选地以各种方式转换它们并将结果数据包写入捕获
输出文件 (或输出文件)。
默认情况下,它从 入档 并将它们写入 输出文件 在 pcap
文件格式。
可以在命令尾部指定可选的数据包编号列表; 个人包裹
由空格分隔的数字和/或数据包编号范围可以指定为
开始-结束, 指的是来自的所有数据包 开始 至 结束. 默认选择的数据包
这些数字将 不能 写入捕获文件。 如果 -r 标志被指定,
整个数据包选择被反转; 在这种情况下 仅由 选定的数据包将是
写入捕获文件。
编辑帽 也可以用来删除重复的数据包。 几个不同的选项(-d, -D
和 -w) 用于控制要用于的数据包窗口或相对时间窗口
重复比较。
编辑帽 可用于将注释字符串分配给帧编号。
编辑帽 能够检测、读取和写入所支持的相同捕获文件
Wireshark的. 输入文件不需要特定的文件扩展名; 文件格式和
将自动检测可选的 gzip 压缩。 接近开始的时候
说明部分 Wireshark的(1)或
是对
方式 Wireshark的 处理这个,这是相同的方式 编辑帽 处理这个。
编辑帽 可以以多种输出格式写入文件。 这 -F 标志可用于指定
写入捕获文件的格式; 编辑帽 -F 提供可用的列表
输出格式。
配置
-一种
对于特定的帧编号,分配给定的注释字符串。 可以重复为
多帧。 引号应与包含空格的注释字符串一起使用。
-一种
仅保存时间戳在开始时间或之后的数据包。 时间给了
采用以下格式 YYYY-MM-DD HH:MM:SS
-B
只保存时间戳在停止时间之前的数据包。 时间在
以下格式 YYYY-MM-DD HH:MM:SS
-C
根据统一的数据包计数将数据包输出拆分为不同的文件
最多每个。 每个输出文件都将创建一个后缀
-nnnnn,以00000开头。如果写入指定数量的数据包
输出文件,打开下一个输出文件。 默认是使用单个输出
文件中。
-C [偏移:]
设置写入数据包数据时使用的斩波长度。 每个包被切碎
字节数据。 正值在数据包开始时斩波,而负值
值在数据包末端被砍掉。
如果一个可选的偏移量在,那么切碎的字节将被抵消
从那个值。 正偏移从数据包开始,而负偏移
偏移量来自数据包末端。
这对于截断标题以对整个捕获进行解封装很有用,删除
隧道标头,或者在极少数情况下两种文件格式之间的转换
在每个数据包的末尾留下一些随机字节。 另一个用途是删除 vlan
标签。
注意:此选项可以多次使用,有效地允许您截断字节
一次通过最多两个不同的数据包区域,只要您指定
至少一个截断长度为正值,至少一个截断长度为负值。
所有正斩波长度加在一起,所有负斩波长度也是如此。
-d 尝试删除重复的数据包。 当前数据包的长度和 MD5 哈希值
与前四 (4) 个数据包进行比较。 如果找到匹配项,则当前
数据包被跳过。 这个选项相当于使用选项 -D 5.
-D
尝试删除重复的数据包。 当前数据包的长度和 MD5 哈希值
与之前相比- 1 包。 如果找到匹配项,则
当前数据包被跳过。
选项的使用 -D 0 结合 -v 选项很有用,因为每个数据包的
包号、Len 和 MD5 Hash 将打印到标准输出。 这个详细的输出
(特别是 MD5 哈希字符串)在脚本中可用于识别重复项
跨跟踪文件的数据包。
这指定为 0 到 1000000(含)之间的整数值。
注意:指定大具有大跟踪文件的值可能会导致非常
处理时间长 编辑帽.
-E
设置输出文件中的字节随机更改的概率。 编辑帽 使用
将错误应用于每个数据字节的概率(在 0.0 和 1.0 之间,含)
文件。 例如,0.02 的概率意味着每个字节有 2% 的机会
有错误。
此选项旨在用于模糊测试协议解剖器。
-F
设置输出捕获文件的文件格式。 编辑帽 可以将文件写入
几种格式, 编辑帽 -F 提供可用输出格式的列表。 这
默认是 电容 格式。
-h 打印版本和选项并退出。
-一世
使用统一的时间间隔将数据包输出拆分为不同的文件
最大间隔每个。 每个输出文件都将创建一个
后缀 -nnnnn,以 00000 开头。如果指定时间间隔的数据包是
写入输出文件,打开下一个输出文件。 默认是使用一个
单个输出文件。
-一世
在 MD5 哈希期间忽略帧开头的指定字节数
计算 用于删除多个路由器上的重复数据包(不同
例如 mac 地址)例如 -I 26 在 Ether/IP/ 的情况下将忽略 醚(14)和
IP 标头 (20 - 4(src ip) - 4(dst ip))。 默认值为 0。
-L 在切碎和/或捕捉时相应地调整原始帧长度(在
除了捕获的长度,它总是被调整,无论是否 -L is
指定与否)。 也可以看看 -C <乔普伦>和 -s <快照>.
-o
当与 -E 结合使用时,从数据包的开头跳过一些字节
正在改变。 通过这种方式,一些标题不会被更改,并且模糊器更多
专注于数据包的一小部分。 保持数据包的一部分固定不变
触发解剖器,使模糊测试更加精确。
-r 反转数据包选择。 导致指定包号的包
在命令行上写入输出捕获文件,而不是丢弃
他们。
-s
设置写入数据时使用的快照长度。 如果 -s 标志用于
指定快照长度,输入文件中的数据包比捕获的数据多
指定的快照长度将只有快照指定的数据量
写入输出文件的长度。
如果要读取输出文件的程序无法处理,这可能很有用
大于一定大小的数据包(例如,Solaris 中的 snoop 版本
2.5.1 和 Solaris 2.6 似乎拒绝大于标准的以太网数据包
以太网 MTU,使它们无法处理巨型以太网捕获
包被使用)。
-S
时间调整选定的数据包以确保严格的时间顺序。
这值表示指定为的相对秒数
[ - ]秒[.分数 秒].
在处理捕获文件时,每个数据包的绝对时间是 或者 调整为
等于或大于前一个数据包的绝对时间戳,具体取决于
价值。
如果值为 0 或更大(例如 0.000001)然后 仅由 包
时间戳小于前一个数据包的将进行调整。 调整后的时间戳
value 将被设置为等于前一个数据包的时间戳值加上
的价值价值。 一种0 的值
将调整必要的时间戳值的最小数量,以确保
生成的捕获文件严格按时间顺序排列。
如果value 指定为负值,则时间戳
的值 所有 数据包将被调整为等于时间戳值
前一个数据包加上绝对值严格的时间调整价值。 一种
-0 的值将导致所有数据包具有时间戳
第一个数据包的值。
当跟踪文件偶尔有一个带有负数的数据包时,此功能很有用
相对于前一个数据包的增量时间。
-t
设置用于选定数据包的时间调整。 如果 -t 标志用于
指定时间调整,指定的调整将应用于所有选定的
捕获文件中的数据包。 调整指定为 [-]秒[.分数
秒]。 例如, -t 3600 将所选数据包的时间戳提前一小时
而 -t -0.5 将选定数据包的时间戳减少半秒。
当同步在不同机器上收集的转储时,此功能很有用
两台机器之间的时间差是已知的或可以估计的。
-T
设置输出抓包文件的包封装类型。 如果 -T 使用标志
指定封装类型,输出捕获文件的封装类型
将被强制为指定类型。 编辑帽 -T 提供可用的列表
类型。 默认类型是适合输入的封装类型
捕获文件。
注意:这只是强制输出文件的封装类型为指定的
类型; 包的包头不会从封装中转换
将输入捕获文件的类型转换为指定的封装类型(例如,它
如果以太网捕获是,则不会将以太网捕获转换为 FDDI 捕获
阅读和 '-T 外国直接投资' 被指定)。 如果您需要从/向数据包删除/添加标头,
你会需要 od(1)/文本2pcap(1)。
-v 原因 编辑帽 在它工作时打印详细的消息。
用于 -v 使用重复数据删除开关 -d, -D or -w 将导致所有 MD5 哈希
无论是否跳过数据包,都要打印。
-V 打印版本并退出。
-w
尝试删除重复的数据包。 比较当前数据包的到达时间
最多 1000000 个以前的数据包。 如果数据包的相对到达时间是 减
比 or 等于 至 这前一个数据包和数据包长度以及
当前数据包的 MD5 哈希值与要跳过的数据包相同。 重复的
当当前数据包的相对到达时间大于
.
这被指定为 秒[.分数 秒].
[.fractional seconds] 组件可以指定为九 (9) 位小数
(十亿分之一秒)但大多数典型的跟踪文件的分辨率为六 (6)
小数位(百万分之一秒)。
注意:指定大具有大跟踪文件的值可能会导致
很长的处理时间 编辑帽.
注意: -w 选项假定数据包按时间顺序排列。 如果
数据包不是按时间顺序排列的 -w 重复删除选项可能不
识别一些重复项。
示例
要查看选项的更详细说明,请使用:
编辑帽 -h
通过将数据包截断为 64 字节并将其写为 Sun 来缩小捕获文件
snoop 文件使用:
editcap -s 64 -F snoop capture.pcap Shortcapture.snoop
要从捕获文件中删除数据包 1000,请使用:
编辑cap capture.pcap sans1000.pcap 1000
要将捕获文件限制为从 200 到 750(含)的数据包,请使用:
editcap -r capture.pcap 小.pcap 200-750
要获取编号为 1-500(含)的所有数据包,请使用:
editcap -r capture.pcap first500.pcap 1-500
or
编辑cap capture.pcap first500.pcap 501-9999999
要从新文件中排除数据包 1、5、10 到 20 和 30 到 40,请使用:
编辑cap capture.pcap exclude.pcap 1 5 10-20 30-40
要仅为新文件选择数据包 1、5、10 到 20 和 30 到 40,请使用:
editcap -r capture.pcap 选择.pcap 1 5 10-20 30-40
要删除前四帧中看到的重复数据包,请使用:
editcap -d capture.pcap dedup.pcap
要删除前 100 帧中看到的重复数据包,请使用:
editcap -D 101 捕获.pcap dedup.pcap
删除看到的重复数据包 等于 至 or 减 比 1/10 秒:
editcap -w 0.1 capture.pcap dedup.pcap
要显示所有数据包的 MD5 哈希值(而不生成任何实际输出文件):
editcap -v -D 0 capture.pcap /dev/null
或在 Windows 系统上
editcap -v -D 0 捕获.pcap NUL
将每个数据包的时间戳向前推进 3.0827 秒:
editcap -t 3.0827 capture.pcap 调整后的.pcap
为确保所有时间戳都严格按时间顺序排列:
editcap -S 0 capture.pcap 调整后的.pcap
要在捕获文件中引入 5% 的随机错误,请使用:
editcap -E 0.05 capture.pcap 捕获错误.pcap
要从以太网封装的捕获文件中的所有数据包中删除 vlan 标记,请使用:
editcap -L -C 12:4 capture_vlan.pcap capture_no_vlan.pcap
将 10 字节数据包中的 20 字节和 75 字节区域同时切掉
通过,使用下面提供的 8 种可能方法中的任何一种:
<---------------------------- 75 --------------------- ------->
+---+-------+-----------+--------------+--------- ----------+
| 5 | 10 | 15 | 20 | 25 |
+---+-------+-----------+--------------+--------- ----------+
1) editcap -C 5:10 -C -25:-20 capture.pcap 切碎.pcap
2) editcap -C 5:10 -C 50:-20 capture.pcap 切碎.pcap
3) editcap -C -70:10 -C -25:-20 capture.pcap 切碎.pcap
4) editcap -C -70:10 -C 50:-20 capture.pcap 切碎.pcap
5) editcap -C 30:20 -C -60:-10 capture.pcap 切碎.pcap
6) editcap -C 30:20 -C 15:-10 capture.pcap 切碎.pcap
7) editcap -C -45:20 -C -60:-10 capture.pcap 切碎.pcap
8) editcap -C -45:20 -C 15:-10 capture.pcap 切碎.pcap
要将注释字符串添加到前 2 个输入帧,请使用:
editcap -a "1:1st frame" -a 2:Second capture.pcap capture-comments.pcap
使用 onworks.net 服务在线使用 editcap
