これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、または MAC OS オンライン エミュレーターなどの複数の無料オンライン ワークステーションの XNUMX つを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド editcap です。
プログラム:
NAME
editcap - キャプチャ ファイルの形式を編集および/または変換します
SYNOPSIS
編集キャップ [ -a ] [ -A ][ -B 】
[ -c ][ -C [オフセット:] ][ -E ]
[ -F ][ -h ] [ -i ][ -o ][ -L ] [ -r ]
[ -s ][ -S ][ -t 】
[ -T ] [ -v ] ファイル内 アウトファイル [ パケット#[-パケット#] ... ]
編集キャップ -d | -D | -w [ -v ] [ -I ]
ファイル内 アウトファイル
編集キャップ [ -V ]
DESCRIPTION
エディットキャップ キャプチャされたパケットの一部またはすべてを ファイル内,
オプションでそれらをさまざまな方法で変換し、結果のパケットをキャプチャに書き込みます
アウトファイル (またはアウトファイル)。
デフォルトでは、すべてのパケットを ファイル内 そしてそれらを アウトファイル pcapで
ファイル形式。
オプションのパケット番号リストをコマンド末尾に指定できます。 個別パケット
空白で区切られた番号やパケット番号の範囲は、次のように指定できます。
start-end、からのすべてのパケットを指します。 start 〜へ end。 デフォルトでは、選択されたパケット
これらの数字を使えば キャプチャ ファイルに書き込まれます。 もし -r フラグが指定されている、
パケット全体の選択が逆になります。 その場合 の 選択されたパケットは
キャプチャファイルに書き込まれます。
エディットキャップ 重複したパケットを削除するためにも使用できます。 いくつかの異なるオプション (-d, -D
と -w) は、パケット ウィンドウまたは相対時間ウィンドウを制御するために使用されます。
重複した比較。
エディットキャップ フレーム番号にコメント文字列を割り当てるために使用できます。
エディットキャップ によってサポートされているのと同じキャプチャファイルを検出、読み取り、書き込みできます
Wiresharkの。 入力ファイルには特定のファイル名拡張子は必要ありません。 ファイル形式と
オプションのgzip圧縮が自動的に検出されます。 の始まり近く
の説明セクション wireshark(1)または
の詳細な説明です
方法 Wiresharkの これを処理します。これは同じ方法です エディットキャップ これを処理します。
エディットキャップ いくつかの出力形式でファイルを書き込むことができます。 NS -F フラグを使用して指定できます
キャプチャ ファイルを書き込む形式。 編集キャップ -F 利用可能なリストを提供します
出力形式。
OPTIONS
-a
特定のフレーム番号に、指定されたコメント文字列を割り当てます。 繰り返し可能
複数のフレーム。 スペースを含むコメント文字列には引用符を使用する必要があります。
-A
タイムスタンプが開始時刻以降であるパケットのみを保存します。 時間が与えられている
次の形式 YYYY-MM-DD HH:MM:SS
-B
タイムスタンプが停止時刻より前のパケットのみを保存します。 時間は次のとおりです。
次の形式 YYYY-MM-DD HH:MM:SS
-c
均一なパケット数に基づいて、パケット出力を異なるファイルに分割します。
最大の各。 各出力ファイルは接尾辞付きで作成されます
-nnnnn、00000 で始まります。指定された数のパケットが
出力ファイルを作成すると、次の出力ファイルが開かれます。 デフォルトでは単一の出力を使用します。
ファイルにソフトウェアを指定する必要があります。
-C [オフセット:]
パケットデータを書き込むときに使用するチョップ長を設定します。 各パケットは次のように切り刻まれます。
バイトのデータ。 正の値はパケットの先頭で切り取られ、負の値はパケットの先頭で切り取られます。
値はパケットの終わりで切り取られます。
オプションのオフセットが前にある場合、 、その後、切り取られたバイトはオフセットされます
その値から。 正のオフセットはパケットの先頭からのものであり、負のオフセットは
オフセットはパケットの終端からのものです。
これは、キャプチャ全体のカプセル化を解除し、ヘッダーを切り取って削除する場合に便利です。
トンネリング ヘッダー、またはまれに XNUMX つのファイル形式間の変換
各パケットの最後にランダムなバイトがいくつか残ります。 もう XNUMX つの用途は、VLAN を削除することです。
タグ。
注: このオプションは複数回使用でき、効果的にバイトを切り取ることができます。
指定した場合、単一パスでパケットの最大 XNUMX つの異なる領域から
少なくとも XNUMX つのチョップ長は正の値であり、少なくとも XNUMX つは負の値です。
すべての正のチョップ長は、すべての負のチョップ長と同様に合計されます。
-d 重複パケットの削除を試みます。 現在のパケットの長さと MD5 ハッシュ
前の 4 つのパケットと比較されます。 一致するものが見つかった場合、現在の
パケットはスキップされます。 このオプションは、オプションを使用するのと同じです。 -D 5.
-D
重複したパケットの削除を試みます。 現在のパケットの長さと MD5 ハッシュ
以前と比較されています- 1パック。 一致するものが見つかった場合、
現在のパケットはスキップされます。
オプションの使用 -D 0 と組み合わせる -v このオプションは、各パケットの
パケット番号、Len、および MD5 ハッシュが標準出力に出力されます。 この冗長な出力
(特に MD5 ハッシュ文字列) は、スクリプトで重複を識別するのに役立ちます。
トレース ファイル全体のパケット。
の0 ~ 1000000 (両端の値を含む) の整数値として指定します。
注: 大きい値を指定すると、 トレースファイルが大きい値を使用すると、非常に大きな問題が発生する可能性があります。
長い処理時間 編集キャップ.
-E
出力ファイル内のバイトがランダムに変更される確率を設定します。 エディットキャップ 使用されます
の各データ バイトにエラーが適用される確率 (0.0 ~ 1.0 の範囲)
ファイル。 たとえば、確率 0.02 は、各バイトの確率が 2% であることを意味します。
エラーがあること。
このオプションは、ファズテストプロトコルディセクターに使用することを目的としています。
-NS
出力キャプチャファイルのファイル形式を設定します。 エディットキャップ ファイルを書き込むことができます
いくつかのフォーマット、 編集キャップ -F 使用可能な出力形式のリストを提供します。 NS
デフォルトは pcap 形式でダウンロードすることができます。
-hバージョンとオプションを出力して終了します。
-私
を使用して、均一な時間間隔に基づいてパケット出力を異なるファイルに分割します。
最大間隔各。 各出力ファイルは次のように作成されます。
00000 で始まるサフィックス -nnnnn。指定された時間間隔のパケットが
出力ファイルに書き込まれると、次の出力ファイルが開かれます。 デフォルトでは、
単一の出力ファイル。
-私
MD5 ハッシュ中にフレームの先頭にある指定されたバイト数を無視します。
計算 複数のルータ (異なるルータ) で取得された重複したパケットを削除するのに役立ちます
例:MAC アドレス)例:Ether/IP/ の場合 -I 26 は無視されます エーテル(14)と
IP ヘッダー (20 - 4(src ip) - 4(dst ip))。 デフォルト値は 0 です。
-L チョッピングおよび/またはスナップするときに、それに応じて元のフレームの長さを調整します (
キャプチャされた長さに加えて、これは、 -L is
指定されているかどうか)。 こちらも参照 -C <チョプレン>および -s <スナップ>.
-o
-E と組み合わせて使用すると、パケットの先頭からいくつかのバイトをスキップします。
変化していること。 このようにして、一部のヘッダーは変更されず、ファザーはより多くの
パケットの小さな部分に焦点を当てています。 パケットの一部をそのまま固定する
dissector がトリガーされ、ファジングがより正確になります。
-r パケットの選択を逆にします。 パケット番号が指定されたパケットを発生させます
破棄するのではなく、出力キャプチャ ファイルに書き込まれるようにコマンド ラインで指定します。
それら。
-NS
データの書き込み時に使用するスナップショットの長さを設定します。 の場合 -s フラグは
スナップショットの長さ、入力ファイル内のパケットよりも多くのキャプチャされたデータを含むパケットを指定します。
指定されたスナップショットの長さには、スナップショットで指定された量のデータのみが含まれます
出力ファイルに書き込まれる長さ。
これは、出力ファイルを読み取るプログラムが処理できない場合に便利です。
特定のサイズより大きいパケット (たとえば、Solaris のスヌープのバージョン)
2.5.1 および Solaris 2.6 は、標準より大きいイーサネット パケットを拒否するようです
イーサネット MTU により、ジャンボの場合はギガビット イーサネット キャプチャを処理できなくなります
パケットが使用されました)。
-S
選択したパケットの時間を調整して、厳密な時系列順を確保します。
の値は、次のように指定された相対秒を表します。
[ - ]秒[.フラクショナル 秒].
キャプチャ ファイルが処理されると、各パケットの絶対時間は次のようになります。 おそらく に調整
に応じて、前のパケットの絶対タイムスタンプ以上である必要があります。
価値。
もしも値が 0 以上 (例: 0.000001) の場合 の パケット
前のパケットよりも小さいタイムスタンプが調整されます。 調整されたタイムスタンプ
値は、前のパケットのタイムスタンプ値に、
の値価値。 あ値0
を確保するために必要なタイムスタンプ値の最小数を調整します。
結果のキャプチャ ファイルは厳密に時系列順に並べられます。
もしも値が負の値として指定されている場合、タイムスタンプ
の値 を パケットは、タイムスタンプ値と等しくなるように調整されます。
前のパケットに絶対値を加えたもの厳密な時間調整価値。 あ
値が -0 の場合、すべてのパケットがタイムスタンプを持つことになります。
最初のパケットの値。
この機能は、トレース ファイルにマイナスのパケットが時折含まれる場合に役立ちます。
前のパケットとの相対的なデルタ時間。
-t
選択したパケットに使用する時間調整を設定します。 もし -t フラグは
時間調整を指定すると、指定した調整が選択したすべての時間に適用されます
キャプチャ ファイル内のパケット。 調整は[-]で指定します秒[.フラクショナル
秒]。 例えば、 -t 3600 は、選択したパケットのタイムスタンプを XNUMX 時間進めます
while -t -0.5 では、選択したパケットのタイムスタンプが XNUMX 秒減少します。
この機能は、異なるマシンで収集されたダンプを同期する場合に役立ちます。
XNUMX 台のマシン間の時間差は既知であるか、推定できます。
-T
出力キャプチャ ファイルのパケット カプセル化タイプを設定します。 もし -T フラグが使用されています
カプセル化タイプを指定するには、出力キャプチャ ファイルのカプセル化タイプを指定します。
指定された型に強制的に設定されます。 編集キャップ -T 利用可能なリストを提供します
種類。 デフォルトのタイプは、入力のカプセル化タイプに適したタイプです。
キャプチャファイル。
注: これは、出力ファイルのカプセル化タイプを強制的に指定したものにするだけです。
タイプ; パケットのパケット ヘッダーはカプセル化から変換されません。
入力キャプチャ ファイルのタイプを指定されたカプセル化タイプに変換します (たとえば、
イーサネット キャプチャが FDDI キャプチャである場合、イーサネット キャプチャは FDDI キャプチャに変換されません。
読んで '-T fddi'が指定されています)。 パケットからヘッダーを削除したり、パケットにヘッダーを追加したりする必要がある場合は、
必要になるだろう od(1)/テキスト2pcapとします。
-v原因 編集キャップ 動作中に詳細なメッセージを出力します。
活用 -v 重複排除スイッチを使用すると、 -d, -D or -w すべての MD5 ハッシュが発生します
パケットがスキップされるかどうかに関係なく印刷されます。
-Vバージョンを印刷して終了します。
-w
重複したパケットの削除を試みます。 現在のパケットの到着時間を比較します
最大 1000000 個の以前のパケットが含まれます。 パケットの相対到着時間が less
より or 等しい 〜へ の前のパケットのパケット長と
現在のパケットの MD5 ハッシュは、スキップされるパケットと同じです。 重複したもの
現在のパケットの相対到着時間が次の値よりも大きい場合、比較テストは停止します。
。
のとして指定されます 秒[.フラクショナル 秒].
[.fractional 秒] コンポーネントは小数点以下 9 桁まで指定できます
(6 億分の XNUMX 秒)ですが、ほとんどの一般的なトレース ファイルの解像度は XNUMX です。
小数点以下の桁 (XNUMX 万分の XNUMX 秒)。
注: 大きい値を指定すると、 トレースファイルが大きい値を使用すると、次のような結果が生じる可能性があります。
非常に長い処理時間 編集キャップ.
注: -w このオプションは、パケットが時系列順に並んでいることを前提としています。 もし
パケットは時系列順ではありません。 -w 重複削除オプションは使用できない場合があります
いくつかの重複を特定します。
例
オプションの詳細な説明を表示するには、次を使用します。
編集キャップ -h
パケットを 64 バイトで切り捨て、Sun として書き込むことでキャプチャ ファイルを縮小するには
スヌープファイルの使用:
editcap -s 64 -F スヌープキャプチャ.pcap shortcapture.snoop
キャプチャ ファイルからパケット 1000 を削除するには、次のコマンドを使用します。
editcap キャプチャ.pcap sans1000.pcap 1000
キャプチャ ファイルを番号 200 ~ 750 (両端を含む) のパケットに制限するには、次のコマンドを使用します。
editcap -r Capture.pcap small.pcap 200-750
番号 1 ~ 500 (両端を含む) のすべてのパケットを取得するには、次を使用します。
editcap -r Capture.pcap first500.pcap 1-500
or
editcap Capture.pcap first500.pcap 501-9999999
新しいファイルからパケット 1、5、10 ~ 20、および 30 ~ 40 を除外するには、次のコマンドを使用します。
editcap Capture.pcap exclude.pcap 1 5 10-20 30-40
新しいファイルとしてパケット 1、5、10 ~ 20、および 30 ~ 40 だけを選択するには、次のコマンドを使用します。
editcap -r Capture.pcap select.pcap 1 5 10-20 30-40
前の XNUMX つのフレーム内に見られる重複パケットを削除するには、次を使用します。
editcap -d Capture.pcap dedup.pcap
以前の 100 フレーム内に見られた重複パケットを削除するには、次を使用します。
editcap -D 101 Capture.pcap dedup.pcap
見つかった重複パケットを削除するには 等しい 〜へ or less より 1/10秒:
editcap -w 0.1 Capture.pcap dedup.pcap
すべてのパケットの MD5 ハッシュを表示するには (実際の出力ファイルは生成しません):
editcap -v -D 0 Capture.pcap /dev/null
または Windows システム上
editcap -v -D 0 Capture.pcap NUL
各パケットのタイムスタンプを 3.0827 秒進めるには、次のようにします。
editcap -t 3.0827 キャプチャ.pcap 調整済み.pcap
すべてのタイムスタンプが厳密に時系列順であることを確認するには:
editcap -S 0 キャプチャ.pcap 調整済み.pcap
キャプチャ ファイルに 5% のランダム エラーを導入するには、次を使用します。
editcap -E 0.05 Capture.pcap Capture_error.pcap
イーサネットでカプセル化されたキャプチャ ファイル内のすべてのパケットから VLAN タグを削除するには、次のコマンドを使用します。
editcap -L -C 12:4 Capture_vlan.pcap Capture_no_vlan.pcap
次の 10 バイトのパケットから 20 バイトと 75 バイトの両方の領域を単一のパケットに切り出すには
合格した場合は、以下に示す 8 つの可能な方法のいずれかを使用します。
<------------------------------------- 75 --------------------- ------->
+---+----------+-----------+--------+--------- ----------+
| 5 | 10 | 15 | 20 | 25 |
+---+----------+-----------+--------+--------- ----------+
1) editcap -C 5:10 -C -25:-20 Capture.pcap Choped.pcap
2) editcap -C 5:10 -C 50:-20 Capture.pcap Choped.pcap
3) editcap -C -70:10 -C -25:-20 Capture.pcap Choped.pcap
4) editcap -C -70:10 -C 50:-20 Capture.pcap Choped.pcap
5) editcap -C 30:20 -C -60:-10 Capture.pcap Choped.pcap
6) editcap -C 30:20 -C 15:-10 Capture.pcap Choped.pcap
7) editcap -C -45:20 -C -60:-10 Capture.pcap Choped.pcap
8) editcap -C -45:20 -C 15:-10 Capture.pcap Choped.pcap
最初の 2 つの入力フレームにコメント文字列を追加するには、次を使用します。
editcap -a "1:1st フレーム" -a 2:Second Capture.pcap Capture-comments.pcap
onworks.net サービスを使用してオンラインで editcap を使用する
