Büyük bir pcap dosyası (100GB) var ve 5.000.000 ile 5.000.020 arası rakamları bildiğim az sayıda paketle ilgileniyorum.Tcpdump ile büyük bir pcap dosyasından belirli bir paket yelpazesini nasıl alabilirim?
Bir pcap dosyasını okumak, paketleri paket numarasına göre filtrelemek (veya aralık) için tcpdump'u kullanabilir ve sonra yeni bir pcap dosyasına yazabilir miyim?
Tricap adlı küçük bir program kullanabilirsiniz. Tricap, Xplico'nun bir parçasıdır. kaynak kodu buradan da İNDİRMEMENİZİ edilebilir: https://github.com/M0Rf30/xplico/tree/master/system/trigcap
Çok ilginç bir soru ortaya atıyorsunuz (en azından benim için!), Bu yüzden bir cevabı araştırmaya başladım.
tcpdump man sayfası ve dokümanlarının, paket numarası (PCP dosyasından okuma) ile kullanacağını düşündüğüm paket numarasını belirtmediklerini görmek beni hayrete düşürmüştü. Pcap çıktı dosyasının bir paket numarası içermediğini düşünmeye başladım mı?
Eğer Wireshark içine yüklerseniz, soldaki sütunda bir paket numarası göreceksiniz, ama bir 100Gb dosyası hakkında konuştuğunuz için Wireshark'a (belki de Wireshark'a) yüklemenizi tavsiye etmek istemediğimi biliyorum Bir Linux sunucusunda bununla başa çıkabilir miyim?)
Her neyse, geçmişte kullanmadığım ama Wireshark'ın bir parçası olan bir komut satırı aracı olan editcap ile karşılaştım. editcap, paket numarasını veya paket numarası aralığını belirlemenize izin verir. Yani bu bana paket numarasının sadece bir Wireshark olayı olduğunu düşünmemi sağladı ve bu pcap dosyaları herhangi bir sipariş numarası etiketlemeyi ummadan sadece paketleri depolar?
editcap - erkek sayfa: http://www.wireshark.org/docs/man-pages/editcap.html
editcap - kullanım kılavuzu: http://www.wireshark.org/docs/wsug_html_chunked/AppToolseditcap.html
o editcap ana işlevi paketleri (çiftleri) kaldırmak olduğunu görünüyor çünkü dikkatli olun, bu nedenle herhangi bir varsayılan davranışları dikkat Orada!
Bu yardımcı olur umarım, ve bunun üzerine dökülecek daha fazla ışık varsa, bunu duymak isterim!
Bunu yapmanın kolay bir yolu yoktur, dosyanın büyüklüğünü azaltmanın yanı sıra, bu büyük dosyaları önlemek için birkaç yol vardır. Eğer ev sahibi 192.168 içeren tüm paketleri dışarı ayrıştırmak olacak Bu filtre ile
tcpdump -r firstcap.pcap -nn host 192.168.1.177 -w 177file.pcap
:
tcpdump -r infile
Örnek outfile -w filtreleri uygulamak: Burada iş yolları yer çift. 177file.pcap adı verilen yeni bir pcap dosyasına 1.177; tcp, udp, icmp ve arp gibi protokolleri de belirtebilir ve bu paketleri ayrı bir dosyaya ayrıştırabilirsiniz. Örnek için
:
Sana hatları oluşan belirli odaklanmanızı baş ve kuyruk kullanmak yolu etrafında bir iş var, kolayca belirli bir aralık alabilirsiniz emin değilim Eğer çizgileri 1000 paket dosyasında 400-500 istiyorum Diyelim:
tcpdump -r firstcap.pcap -c 500 | tail -100 >> outfile.txt
Bu ilk 500 paket yazdırmak edecek ve daha sonra boru sadece 500 paket yakalama son 100 paket gösterecektir kuyruğuna çıktı, çok etkili 400-500. Ardından, ASCII'deki söz konusu paketleri outfile.txt dosyasına eklemektesiniz, yani artık pcap formatında değil.
NOT: Kuyrukta NOT paketlerinin son N satır numarasını yazdırdığının belirtilmesi çok önemlidir; bu nedenle paketleri hex biçiminde gösteriyorsanız, bunu hesabınızda hesaba katmanız gerekir.
Bu konuyu burada yazdım, sen tcpdump ile oldukça kolay bir yakalama döndürebilirsiniz büyük pcap dosyaları oluşturmak önlemek için: Bu yardımcı olurhttp://www.ppartyka.com/2014/03/tutorial-tcpdump-pcap-file-too-large.html
Umut.
O (en azından CentOS ve Debian üzerine) Wireshark ile birlikte geliyor editcap kullanarak oldukça basit. 5.000.000 - 5.000.020 paket numaraları için şunları yapabilirsiniz:
editcap -r <big_pcap_file> <new_pcap_file> 5000000-5000020