Linux中國

Linux下如何過濾、分割以及合併 pcap 文件

在這篇文章中,我將介紹一些操作 pcap 文件的工具,以及如何使用它們 。

Editcap 與 Mergecap

Wireshark,是最受歡迎的 GUI 嗅探工具,實際上它帶了一套非常有用的命令行工具集。其中包括 editcap 與 mergecap。editcap 是一個萬能的 pcap 編輯器,它可以過濾並且能以多種方式來分割 pcap 文件。mergecap 可以將多個 pcap 文件合併為一個。 這篇文章就是基於這些 Wireshark 命令行工具的。

如果你已經安裝過 Wireshark 了,那麼這些工具已經在你的系統中了。如果還沒裝的話,那麼我們接下來就安裝 Wireshark 命令行工具。 需要注意的是,在基於 Debian 的發行版上我們可以不用安裝 Wireshark GUI 而僅安裝命令行工具,但是在 Red Hat 及 基於它的發行版中則需要安裝整個 Wireshark 包。

Debian, Ubuntu 或 Linux Mint

$ sudo apt-get install wireshark-common

Fedora, CentOS 或 RHEL

$ sudo yum install wireshark

當安裝好工具後, 就可以開始使用 editca 與 mergecap 了。

pcap 文件過濾

通過 editcap, 我們能以很多不同的規則來過濾 pcap 文件中的內容,並且將過濾結果保存到新文件中。

首先,以「起止時間」來過濾 pcap 文件。 " - A < start-time > 和 " - B < end-time > 選項可以過濾出在這個時間段到達的數據包(如,從 2:30 ~ 2:35)。時間的格式為 「 YYYY-MM-DD HH:MM:SS"。

$ editcap -A &apos;2014-12-10 10:11:01&apos; -B &apos;2014-12-10 10:21:01&apos; input.pcap output.pcap 

也可以從某個文件中提取指定的 N 個包。下面的命令行從 input.pcap 文件中提取100個包(從 401 到 500)並將它們保存到 output.pcap 中:

$ editcap input.pcap output.pcap 401-500

使用 "-D < dup-window >" (dup-window可以看成是對比的窗口大小,僅與此範圍內的包進行對比)選項可以提取出重複包。每個包都依次與它之前的 < dup-window > -1 個包對比長度與MD5值,如果有匹配的則丟棄。

$ editcap -D 10 input.pcap output.pcap

遍歷了 37568 個包, 在 10 窗口內重複的包僅有一個,並丟棄。

也可以將 < dup-window > 定義成時間間隔。使用"-w < dup-time-window >"選項,對比< dup-time-window > 時間內到達的包。

$ editcap -w 0.5 input.pcap output.pcap 

檢索了 50000 個包, 以0.5s作為重複窗口,未找到重複包。

分割 pcap 文件

當需要將一個大的 pcap 文件分割成多個小文件時,editcap 也能起很大的作用。

將一個 pcap 文件分割成數據包數目相同的多個文件

$ editcap -c <packets-per-file> <input-pcap-file> <output-prefix> 

輸出的每個文件有相同的包數量,以 < output-prefix >-NNNN的形式命名。

以時間間隔分割 pcap 文件

$ editcap -i <seconds-per-file> <input-pcap-file> <output-prefix> 

合併 pcap 文件

如果想要將多個文件合併成一個,用 mergecap 就很方便。

當合併多個文件時,mergecap 默認將內部的數據包以時間先後來排序。

$ mergecap -w output.pcap input.pcap input2.pcap [input3.pcap . . .]

如果要忽略時間戳,僅僅想以命令行中的順序來合併文件,那麼使用 -a 選項即可。

例如,下列命令會將 input.pcap 文件的內容寫入到 output.pcap, 並且將 input2.pcap 的內容追加在後面。

$ mergecap -a -w output.pcap input.pcap input2.pcap 

總結

在這篇指導中,我演示了多個 editcap、 mergecap 操作 pcap 文件的例子。除此之外,還有其它的相關工具,如 reordercap用於將數據包重新排序,text2pcap 用於將 pcap 文件轉換為文本格式, pcap-diff用於比較 pcap 文件的異同,等等。當進行網路入侵測試及解決網路問題時,這些工具與包注入工具非常實用,所以最好了解他們。

你是否使用過 pcap 工具? 如果用過的話,你用它來做過什麼呢?

via: http://xmodulo.com/filter-split-merge-pcap-linux.html

作者:Dan Nanni 譯者:SPccman 校對:wxy

本文由 LCTT 原創翻譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國