Editcap

Утилита Editcap используется для выбора или удаления определенных пакетов из входного файла. В отличие от ethereal Editcap не может захватывать сетевой трафик самостоятельно. Вместо этого, он обрабатывает захваченные пакеты по каким-либо критериям и записывает их в другой файл. В данной статье мы рассмотрим различные параметры editcap.

Пример 1: Отбрасываем определенное количество пакетов в начале входного файла input_dump

Файл output_dump будет содержать все пакеты, за исключением первых 10-ти.

Пример 2: Отбрасываем пакеты из середины файла.

Файл output_dump будет содержать все пакеты, кроме вырезанный с 200 по 210.

Пример 3: Отбираем в новый файл несколько диапазонов пакетов

Выходной файл output_dump будет содержать первые 10 пакетов и пакеты с 100 по 200.

Пример 4: Изменяем тип инкапсуляции захваченного файла с помощью опции -T

По умолчанию тип инкапсуляции для захваченного файла ether. В примере ниже, мы переведем его в формат ieee-802-11-bsd:

Пример 5: Обработка сжатый входных файлов

editcap автоматически распознает сжатые захваченные файлы. В настоящий момент он поддерживает формат gzip. В примере ниже мы даем на вход сжатый файл и выборочно забираем пакеты в выходной файл.

Пример 6: Выборка пакетов из временного диапазона

В данном примере мы создадим выходной файл output_dump, который содержит пакеты, захваченные в временной диапазон, указанный в опциях -A и -B.

Пример 7: Изменение временной отметки пакетов с помощью опции -t

Для увеличение временной отметки пакетов на один час:

Для уменьшение на 30 минут:

Пример 8: Удаление дубликатов пакетов

Опция -d удаляет дубликаты пакетов из входного файла.

Пример 9: Разбиваем входной файл на несколько файлов.

Для разбиения входного файла на несколько файлов испльзуем опцию -c.

 Если в файле input_dump было 5000 packets, editcap создаст следующие 5 выходных файлов.

Спасибо от http://guruadmin.ru/page/9-prakticheskih-primerov-ispolzovanija-editcap и https://www.wireshark.org/docs/man-pages/editcap.html

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *