GNU/Linux >> Znalost Linux >  >> Linux

Průvodce Editcap:11 příkladů efektivního zpracování výpisů síťových paketů


Foto s laskavým svolením Michael_P

Tento článek napsal Balakrishnan M
 
Utilita Editcap se používá k výběru nebo odstranění konkrétních paketů ze souboru výpisu a jejich překladu do daného formátu. Editcap neprovádí zachycování paketů jako éterický. Místo toho pracuje se zachycenými pakety a zapisuje některé z požadovaných paketů do jiného souboru. Můžeme předat různé možnosti editcap, abychom získali naše preferované pakety.

V tomto článku se podíváme na 11 praktických příkladů, jak používat editcap k efektivnímu zpracování výpisů paketů.

Primární účel editcap

Níže jsou uvedeny hlavní důvody, proč použít příkaz editcap.

  • Rozdělte soubor výpisu do více souborů.
  • Vyberte pouze požadované pakety.
  • Přeložte zachycený soubor z jednoho formátu do druhého.
  • Schopnost číst z komprimovaného souboru výpisu.
  • Usnadněte práci nástroje síťového analyzátoru načítáním pouze selektivních paketů namísto načítání celého výpisu.
  • Všechny funkce mají za následek nižší spotřebu času při zpracování nebo analýze paketů.


Předpokládejme scénář, kdy musíte analyzovat pouze některé konkrétní typy paketů v obrovském souboru výpisu. V této situaci nemůžeme použít síťový analyzátor paketů (wireshark nebo ethereal) k načtení velkého souboru výpisu najednou, protože to bude proces náročný na CPU a systém se může zablokovat. Nástroj Editicap usnadňuje práci tím, že poskytuje pouze relevantní pakety, takže je lze rychle načíst nástrojem síťového analyzátoru.

editcap je k dispozici v balíčku wireshark. Ujistěte se, že je nainstalován balíček wireshark/ethereal, abyste mohli použít editcap.
 

11 praktických příkladů použití edicapu

Příklad 1:Zahození sady paketů od začátku souboru input_dump

Soubor output_dump bude obsahovat všechny pakety kromě prvních 10 paketů.

# editcap -v input_dump output_dump 1-10

Příklad 2:Zahoďte sadu paketů ze středu souboru input_dump

Soubor output_dump bude obsahovat všechny pakety kromě paketů od 200 do 210.

# editcap -v input_dump output_dump 200-210

Příklad 3:Vyberte více rozsahů paketů (od začátku a uprostřed)

Soubor output_dump bude obsahovat prvních 10 paketů a pakety od 100 do 200.

# editcap -r  -v input_dump output_dump 1-10  100-200

Příklad 4:Změňte typ zapouzdření zachyceného souboru pomocí volby -T

Ve výchozím nastavení je typ zapouzdření souboru výpisu ether. Níže uvedený příklad překládá zachycený soubor do formátu ieee-802-11-bsd

# editcap -v -T  ieee-802-11-radiotap input_dump output_dump

Příklad 5:Zpracujte komprimované soubory input_dump

editcap automaticky detekuje komprimované formáty zachycených souborů. V současné době podporuje formát gzip. V níže uvedeném příkladu bere pakety z komprimovaného vstupního souboru a zapisuje prvních 10 paketů a pakety mezi 100 a 200 do souboru output_dump.

# editcap -r -v input_dump.gz output_dump 1-10 100-200

Příklad 6:Extrahujte pakety mezi určitým časovým obdobím pomocí volby -A a -B

Tento příklad vytvoří output_dump, který obsahuje pakety, které jsou zachyceny mezi časem uvedeným ve volbě A a časem uvedeným ve volbě B.

# editcap -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00"  input_dump output_dump

Příklad 7:Změňte časové razítko paketu (zmenšit nebo posunout dopředu) pomocí volby -t

Posune časové razítko paketů na jednu hodinu.

# editcap -t 3600 input_dump output_dump


To zkracuje časové razítko paketů na 30 minut,

# editcap -t -1800 input_dump output_dump

Příklad 8:Odstraňte duplicitní pakety ze souboru output_dump pomocí volby -d

Níže uvedený příklad se ohlíží na předchozí snímky, aby našel duplikaci. Nakonec poskytne výpis, který neobsahuje duplikaci.

# editcap -v -d input_dump output_dump

Příklad 9:Zkraťte pakety na konkrétní délku pomocí volby -s

Vytváří soubor outtut_dump s délkou paketů omezenou na 100. To může být velmi užitečné v mnoha situacích. Tuto metodu můžete například použít, pokud chcete získat pouze IP vrstvu všech paketů a nevyžaduje další vrstvu.

# editcap -s 100 -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00"  input_dump.gz output_dump

Příklad 10:Rozdělte soubor input_dump do více souborů pomocí volby -c

Rozdělte jeden výpis do více souborů a každý obsahuje určený počet paketů.

# editcap -v -c 1000 input_dump output

 
Pokud input_dump obsahuje 5000 paketů, editcap vygeneruje následujících 5 různých výstupních souborů.

output-00000 
output-00001    
output-00002
output-00003
output-00004

Příklad 11:Odeberte určité bajty ze spodní části všech paketů pomocí volby -C

Tento příklad odstraní 10 bajtů z každého paketu a zapíše do výstupního souboru. Můžete to potvrdit zobrazením výstupního souboru ve wireshark, vrstva rámce každého paketu bude ukazovat „50 bajtů bajtů na drátu, 40 bajtů zachycených“ (zde je skutečná velikost paketu 50 bajtů).

# editcap -C 10 input_dump output

 
Tento článek napsal Balakrishnan Mariyappan. Pracuje ve společnosti bk Systems (p) Ltd a má zájem přispívat do open source. The Geek Stuff uvítá vaše tipy a články hostů.


Linux

  1. Příklady příkazů Linux tail

  2. Ifconfig:7 příkladů konfigurace síťového rozhraní

  3. Mergecap a Tshark:Sloučit výpisy paketů a analyzovat síťový provoz

  1. Příkaz mv v Linuxu:7 základních příkladů

  2. Příklady použití příkazu tcpdump pro řešení problémů se sítí

  3. V příkladech příkazů v Linuxu

  1. 8 Příklady příkazů hlavy v Linuxu

  2. 8 Příklady příkazů Stat v Linuxu

  3. soubor Příklady příkazů v Linuxu