GNU/Linux >> Linux Esercitazione >  >> Linux

Guida di Editcap:11 esempi per gestire efficacemente i dump dei pacchetti di rete


Foto per gentile concessione di Michael_P

Questo articolo è stato scritto da Balakrishnan M
 
L'utilità Editcap viene utilizzata per selezionare o rimuovere pacchetti specifici dal file dump e tradurli in un determinato formato. Editcap non esegue acquisizioni di pacchetti come ethereal. Invece, opera sui pacchetti catturati e scrive alcuni dei pacchetti richiesti in un altro file. Possiamo passare varie opzioni a editcap per ottenere i nostri pacchetti preferiti.

In questo articolo, esaminiamo 11 esempi pratici su come utilizzare editcap per gestire efficacemente i dump dei pacchetti.

Scopo principale di editcap

Di seguito sono riportati i motivi principali per utilizzare il comando editcap.

  • Dividi un file dump in più file.
  • Seleziona solo i pacchetti richiesti.
  • Traduci il file di acquisizione da un formato all'altro.
  • Possibilità di leggere da un file dump compresso.
  • Semplifica il lavoro per lo strumento di analisi di rete caricando solo pacchetti selettivi, invece di caricare l'intero dump.
  • Tutte le funzionalità comportano un minor consumo di tempo durante l'elaborazione o l'analisi dei pacchetti.


Assumiamo lo scenario in cui devi analizzare solo alcuni tipi di pacchetti specifici in un enorme file di dump. In questa situazione, non possiamo utilizzare l'analizzatore di pacchetti di rete (wireshark o ethereal) per caricare l'enorme file di dump in un unico shoh, poiché sarà un processo intensivo per la CPU e il sistema potrebbe bloccarsi. L'utilità Editicap semplifica il lavoro fornendo solo i pacchetti pertinenti, quindi potrebbe essere caricato dallo strumento di analisi di rete in breve tempo.

editcap è disponibile nel pacchetto wireshark. Assicurati che il pacchetto wireshark/ethereal sia installato per usare editcap.
 

11 Esempi pratici di utilizzo di edicap

Esempio 1:scartare set di pacchetti dall'inizio del file input_dump

Il file output_dump conterrà tutti i pacchetti tranne i primi 10 pacchetti.

# editcap -v input_dump output_dump 1-10

Esempio 2:scarta una serie di pacchetti dal centro del file input_dump

Il file output_dump conterrà tutti i pacchetti tranne i pacchetti da 200 a 210.

# editcap -v input_dump output_dump 200-210

Esempio 3:seleziona più intervalli di pacchetti (dall'inizio e dal centro)

Il file output_dump conterrà i primi 10 pacchetti e i pacchetti da 100 a 200.

# editcap -r  -v input_dump output_dump 1-10  100-200

Esempio 4:cambia il tipo di incapsulamento del file di acquisizione usando l'opzione -T

Per impostazione predefinita, il tipo di incapsulamento del file di dump è ether. L'esempio seguente traduce il file di acquisizione nel formato ieee-802-11-bsd

# editcap -v -T  ieee-802-11-radiotap input_dump output_dump

Esempio 5:elaborare i file compressi input_dump

editcap rileva automaticamente i formati di file di acquisizione compressi. Attualmente supporta il formato gzip. Nell'esempio seguente, prende i pacchetti dal file di input compresso e scrive i primi 10 pacchetti e i pacchetti compresi tra 100 e 200 nel file output_dump.

# editcap -r -v input_dump.gz output_dump 1-10 100-200

Esempio 6:estrai pacchetti in un periodo di tempo specifico utilizzando l'opzione -A e -B

Questo esempio crea output_dump, che contiene i pacchetti che vengono acquisiti tra il tempo menzionato nell'opzione A e il tempo menzionato nell'opzione B.

# editcap -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00"  input_dump output_dump

Esempio 7:modifica il timestamp del pacchetto (riduci o avanza) utilizzando l'opzione -t

Per far avanzare il timestamp dei pacchetti a un'ora.

# editcap -t 3600 input_dump output_dump


To riduce il timestamp dei pacchetti a 30 minuti,

# editcap -t -1800 input_dump output_dump

Esempio 8:rimuovi i pacchetti duplicati dal file output_dump usando l'opzione -d

L'esempio seguente guarda indietro ai fotogrammi precedenti per trovare la duplicazione. Infine fornisce il dump che non contiene duplicati.

# editcap -v -d input_dump output_dump

Esempio 9:tronca i pacchetti alla lunghezza specifica usando l'opzione -s

Produce il file ouptut_dump con la lunghezza dei pacchetti limitata a 100. Questo può essere molto utile in molte situazioni. Ad esempio, puoi utilizzare questo metodo se desideri ottenere solo il livello IP di tutti i pacchetti e non richiede un altro livello.

# editcap -s 100 -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00"  input_dump.gz output_dump

Esempio 10:dividere il file input_dump in più file usando l'opzione -c

Dividi il singolo dump in più file e ognuno contiene il numero specificato di pacchetti.

# editcap -v -c 1000 input_dump output

 
Se input_dump contiene 5000 pacchetti, editcap genererà i seguenti 5 diversi file di output.

output-00000 
output-00001    
output-00002
output-00003
output-00004

Esempio 11:rimuovi alcuni byte dalla parte inferiore di tutti i pacchetti usando l'opzione -C

Questo esempio rimuove 10 byte da ogni pacchetto e scrive nel file di output. Puoi confermarlo, visualizzando il file di output in wireshark, il livello frame di ogni pacchetto mostrerà "50 byte byte su cavo, 40 byte catturati" (qui la dimensione effettiva di un pacchetto è 50 byte).

# editcap -C 10 input_dump output

 
Questo articolo è stato scritto da Balakrishnan Mariyappan. Lavora in bk Systems (p) Ltd, ed è interessato a contribuire all'open source. The Geek Stuff accoglie con favore i tuoi suggerimenti e gli articoli degli ospiti.


Linux

  1. Comando mv in Linux:7 esempi essenziali

  2. Esempi di comandi tail di Linux

  3. Ifconfig:7 esempi per configurare l'interfaccia di rete

  4. Mergecap e Tshark:unisci i dump dei pacchetti e analizza il traffico di rete

  5. ln Esempi di comandi in Linux

Network Manager su Linux con esempi

Esempi di comandi di Linux cat

Esempi di comandi gzip di Linux

Esempi di comandi ifconfig di Linux

Analizzatore di pacchetti:15 esempi di comandi TCPDUMP

Esempi di comandi dumpe2fs in Linux