Jest to polecenie pcapfix, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
pcapfix - naprawa plików pcap i pcapng
STRESZCZENIE
pcapfix [-d] [-n] [-o nazwa_pliku] [-t TYP_LINK_DANYCH] [-v] nazwa_pliku
OPIS
Pcapfix to narzędzie do naprawy uszkodzonych lub uszkodzonych plików pcap i pcapng. To jest napisane
w C i wydany na licencji GNU General Public License.
Aby naprawić pliki pcap, narzędzie najpierw sprawdza nienaruszony globalny nagłówek pcap i naprawy
jeśli są jakieś uszkodzone bajty. Wygląda na to, że w ogóle nie ma globalnego nagłówka,
pcapfix dodaje samodzielnie utworzony plik na początku pliku. W drugim kroku narzędzie
próbuje znaleźć nagłówki pakietów pcap wewnątrz pliku, poniżej globalnego nagłówka. Sprawdza, czy
wartości są poprawne (lub wydają się być poprawne) i próbuje naprawić pakiet, jeśli istnieje
coś źle.
Aby naprawić pliki pcapng, narzędzie przechodzi przez wszystkie nagłówki pakietów, które można znaleźć w
plik. Sprawdza obowiązkowy nagłówek sekcji i blok opisu interfejsu oraz
tworzy je, jeśli ich brakuje. Pcapfix sprawdza prawidłowe rozmiary bloków i poprawne pola opcji.
Jeśli coś jest nie tak, nieprawidłowe pola są naprawiane (jeśli to możliwe) lub pomijane i korygowane
aby w końcu uzyskać odpowiedni plik pcapng.
OPCJE
-d, --głębokie-skanowanie
Wymuś głębokie skanowanie (domyślnie = 0)
Ta opcja zmusi pcapfix do skanowania w poszukiwaniu dowolnego pakietu w całym pliku (zamiast
tylko z pierwszych 65535 bajtów).
-n, --pcapng
Wymuś format pliku na PCAPNG (domyślnie = 0)
Ta opcja zmusi pcapfix do naprawy pliku wejściowego tak, jak w formacie pcapng
(przydatne w przypadku zniszczonych nagłówków plików).
-o, --plik
Ustaw nazwę pliku wyjściowego. Domyślnie plik wejściowy będzie poprzedzony ciągiem „fixed_”.
-t, --typ-łącza-danych
Typ łącza danych (domyślnie = 1)
(Patrz sekcja UWAGI poniżej).
-v, --pełne
Włącz szczegółowe dane wyjściowe (domyślnie = 0)
Możesz użyć wielu opcji -v, aby zwiększyć gadatliwość.
Gadatliwość 2 spowoduje wyświetlenie bardzo dużej ilości danych wyjściowych podczas wyszukiwania pakietów.
PRZYKŁADY
Napraw plik pcap w trybie głębokiego skanowania, ponieważ duże bloki pliku są uszkodzone.
pcapfix -d plik.pcap
Napraw plik uszkodzony_plik.pcapng, używając pełnych danych wyjściowych.
pcapfix -v plik_uszkodzony.pcapng
Napraw plik wlan_traffic.pcap i wymuś typ łącza danych na 119 (PRISM HEADER).
pcapfix -t 119 wlan_traffic.pcap
Napraw plik uszkodzony.pcapng, którego nagłówek pliku jest uszkodzony i wymuś jego format
pcpng.
pcapfix -n uszkodzony.pcapng
UWAGI
Głęboki skanować
W klasycznych plikach pcap, pcapfix skanuje tylko pierwsze 65536 bajtów (maksymalny pakiet
długość) dla właściwego pierwszego pakietu. Jeśli chcesz wymusić wykrywanie pakietów nawet powyżej
ten limit (np. ponieważ twój plik został poważnie zniszczony) możesz użyć deep
opcja skanowania (-d).
Ta opcja nie jest konieczna w przypadku plików pcapng, ponieważ cały plik jest uporządkowany
bloki, które są domyślnie „nieograniczone”. W rezultacie pcapfix zawsze przeskanuje całość
pcapng dla dalszych bloków.
PCAPNG utworzony
Pcapfix spróbuje zidentyfikować format pliku do naprawy (pcap / pcapng), zanim to zrobi
wszelkie dalsze kontrole. Jeśli sam nagłówek jest uszkodzony, przyjmie format do
być klasycznym pcapem. Aby zmienić to zachowanie, możesz zmusić narzędzie do wykonania pcapng-
naprawić, podając opcję -n (--pcapng).
Gadatliwość
Możesz użyć wielu opcji -v, aby zwiększyć gadatliwość. Rezultatem będzie gadatliwość 2
w bardzo dużej ilości danych wyjściowych podczas wyszukiwania pakietów.
Tryb ASCII przeniesione Akta (FTP)
Pcapfix jest w stanie naprawić pliki pcap, które zostały przesłane w trybie ascii przez
FTP. W tych plikach zostanie utworzona odpowiednia struktura pcap tylko po to, aby je wykonać
czytelne przez wireshark itp. Dane wewnątrz pakietów (i niektóre nagłówki pcap) mogą
nadal być uszkodzony. Aby naprawić te pakiety, należy dokładniej przyjrzeć się strukturze pakietu
(np. suma kontrolna) będzie konieczne.
Dane Połączyć rodzaje
Możesz zmienić pcapfix / wybrać typ łącza danych, podając opcję -t.
Chociaż możesz wybrać numer typu łącza danych z zakresu od 0 do 255, tylko poniższe
typy są przypisane: Jeśli pole typu łącza danych jest uszkodzone, pcapfix wybierze
LINKTYPE_ETHERNET domyślnie.
See http://www.tcpdump.org/linktypes.html w celu uzyskania dalszych informacji.
NUMBER TYP LINKU
0 TYP LINKU_NULL
1 TYP LINKU_ETHERNET
6 LINKTYPE_TOKEN_RING
7 LINKTYPE_ARCNET_BSD
8 TYP LINKU_SLIP
9 TYP LINKU_PPP
10 LINKTYPE_FDDI
50 LINKTYPE_PPP_HDLC
51 LINKTYPE_PPP_ETHER
100 LINKTYPE_ATM_RFC1483
101 TYP LINKU_RAW
104 LINKTYPE_C_HDLC
105 LINKTYPE_IEEE802_11
107 TYP LINKU_FRELAY
108 TYP LINKU_LOOP
113 LINKTYPE_LINUX_SLL
114 TYP LINKU_LTALK
117 TYP LINKU_PFLOG
119 LINKTYPE_PRISM_HEADER
122 LINKTYPE_IP_OVER_FC
123 LINKTYPE_SUNATM
127 LINKTYPE_IEEE802_11_RADIO
129 LINKTYPE_ARCNET_LINUX
138 LINKTYPE_APPLE_IP_OVER_IEEE1394
139 LINKTYPE_MTP2_WITH_PHDR
140 LINKTYPE_MTP2
141 LINKTYPE_MTP3
142 TYP LINKU_SCCP
143 LINKTYPE_DOCSIS
144 LINKTYPE_LINUX_IRDA
147-162 LINKTYPE_USER0-LINKTYPE-USER15
163 LINKTYPE_IEEE802_11_RADIO_AVS
166 LINKTYPE_PPP_PPPD
169 LINKTYPE_GPRS_LLC
177 LINKTYPE_LINUX_LAPD
187 LINKTYPE_BLUETOOTH_HCI_H4
189 TYP LINKU_USB_LINUX
192 LINKTYPE_PPI
195 LINKTYPE_IEEE802_15_4
196 LINKTYPE_SITA
197 TYP LINKU_ERF
201 LINKTYPE_BLUETOOTH_HCI_H4_WITH_PHDR
202 LINKTYPE_AX25_KISS
203 LINKTYPE_LAPD
204 LINKTYPE_PPP_WITH_DIR
205 LINKTYPE_C_HDLC_WITH_DIR
206 LINKTYPE_FRELAY_WITH_DIR
209 LINKTYPE_IPMB_LINUX
215 LINKTYPE_IEEE802_15_4_NONASK_PHY
220 LINKTYPE_USB_LINUX_MMAPPED
224 TYP LINKU_FC_2
225 LINKTYPE_FC_2_WITH_FRAME_DELIMS
226 TYP LINKU_IPNET
227 LINKTYPE_CAN_SOCKETCAN
228 TYP LINKU_IPV4
229 TYP LINKU_IPV6
230 LINKTYPE_IEEE802_15_4_NOFCS
231 TYP LINKU_DBUS
235 LINKTYPE_DVB_CI
236 LINKTYPE_MUX27010
237 LINKTYPE_STANAG_5066_D_PDU
239 TYP LINKU_NFLOG
240 LINKTYPE_NETANALYZER
241 LINKTYPE_NETANALYZER_TRANSPARENT
242 LINKTYPE_IPOIB
243 LINKTYPE_MPEG_2_TS
244 TYP LINKU_NG40
245 LINKTYPE_NFC_LLCP
ROZWÓJ
To narzędzie jest wciąż w fazie rozwoju! Prosimy o przesyłanie dalszych życzeń, propozycji funkcji lub
problemy z kompilacją i wykonaniem [email chroniony]. Dodatkowo możesz mnie wysłać
pcap/pcapng, których nie można było naprawić, aby ulepszyć pcapfix i uzyskać
plik naprawiony.
Więcej informacji można znaleźć na stronie głównej programu pcapfix pod adresem http://f00l.de/pcapfix/.
WIADOMOŚCI ROLNICZE EXIT KODY
1, plik był uszkodzony i został naprawiony
0 , plik jest poprawny; nic do naprawy
-1 , podano nieprawidłowe opcje / parametry
-2 , nie można otworzyć pliku wejściowego do odczytu
-3 , nie można otworzyć pliku wyjściowego do zapisu
-4 , plik wejściowy jest pusty
-5 , plik wejściowy jest za mały
-6 , typ pliku nie jest obsługiwany
-11 , a nie plik pcap/pcapng
-12 , nie można naprawić pliku
-13 , EOF podczas odczytu pliku wejściowego
-255 , nieznany błąd
HISTORIA
1.1.0 - 31.08.2013
* dodano sprawdzanie poprawności formatu pcapng (epb)
* dodano parametr --outfile, aby wybrać stałą nazwę pliku
* poprawione wyrównanie pakietów pcapng (pb, spb, nrb)
* ulepszona obsługa pól opcji pcapng
* ulepszone wyjścia statusu i gadatliwości
* naprawiono błędy naprawcze z zamienionymi plikami pcap
* naprawiono problem z kompilacją MacOS
* naprawiono brak rozszerzenia nazwy pliku wyjściowego systemu Windows
* naprawiono wiele drobnych błędów
1.0.2 - 18.02.2013
* dodano obsługę plików większych niż 2 GB w systemach 32-bitowych
1.0.1 - 03.11.2013
* dodano identyfikator typu bloku naprawczego zero (pcapng)
* dodano naprawę długości przechwytywania wewnątrz EPB (pcapng)
* ustaw typ łącza danych na ethernet na brakującym nagłówku (pcap)
* zmieniono brakujący próg nagłówka pcap
* naprawiono drobne błędy
1.0.0 - 12.10.2013
* dodano obsługę pcapng
* dodano obsługę nanosekund (problem nr 1)
* ulepszone wyjście konsoli
* naprawiono drobne błędy
0.7.3 - 16.06.2013
* dodano wykrywanie plików snoop
* dodano obsługę dużych plików w architekturach 32-bitowych
* poprawione wykrywanie brakującego nagłówka
* naprawiono błędy kompilacji na architekturach hurd i kfreebsd
* naprawiono drobne błędy
0.7.2 - 30.03.2013
* teraz poprawnie kompiluje się na systemach Apple
* naprawiono problemy z instalacją stron podręcznika (w niektórych systemach)
0.7.1 - 03.01.2013
* NAPRAWDĘ naprawiono wyjątek wskaźnika pliku w systemach Windows64
* zaktualizowana strona podręcznika
0.7 - 18.10.2012
* dodano obsługę zamienionych (big endian) plików pcap
* teraz poprawnie kompiluje się na OpenBSD
* naprawiono wyjątek wskaźnika pliku w systemach Windows64
* naprawiono błąd wykrywania, gdy uszkodzony pakiet jest większy niż 65536 bajtów
* naprawiono minimalny limit pakietów, aby poradzić sobie z ruchem WLAN
0.6 - 20.05.2012
* dodano opcję głębokiego skanowania (-d), aby wymusić wykrywanie pakietów w całym pliku
* wykrywa uszkodzenie ascii w nagłówku pcap (unix->win)
* poprawione globalne sprawdzanie nagłówków i pakietów (0 <= usec <= 1000000)
* napraw pliki, których pierwszy pakiet jest całkowicie uszkodzony
* naprawy pakietów ponadgabarytowych
* poprawiona korekcja ostatniego niedopasowania pakietów
* naprawiono pakiety odczytu przez EOF
0.5 - 05.05.2012
* naprawa plików, których pakiety nie były zapisywane chronologicznie
* wykrywanie i naprawa nakładających się pakietów
* wykrywanie i naprawa odciętych plików pcap
* wykryj i napraw pliki pcap przesłane w trybie ascii (tylko nagłówki pcap!)
* dodano pasek postępu
* dodano stronę podręcznika
0.4 - 27.04.2012
* Całkowicie przeprojektowany algorytm wykrywania pakietów (zastąpiono odzyskiwanie oddolne przez
zgadywanie pakietów metodą brute-force)
* poprawiony wskaźnik wykrywalności dzięki dodatkowym kontrolom wiarygodności
* zwiększona prędkość podczas naprawy dużych plików pcap
0.3 - 31.03.2012
* podczas odzyskiwania rozmiar pakietów zostanie sprawdzony jako mniejszy niż 65536
* dodano rozpoznawanie, gdy plik w ogóle nie wydaje się być plikiem pcap
* teraz poprawnie kompiluje się na systemach Windows (testowane z dev-cpp)
* dodano opcję ręcznego wyboru typu łącza danych
0.2 - 11.03.2012
* pcapfix kompiluje się teraz poprawnie na systemach 64-bitowych
* naprawiono segfault, gdy nie podano nazwy pliku
* naprawiony (wejściowy) plik nie został znaleziony błąd w katalogu różni się
* dodano rozpoznawanie innych typów łączy danych poza ethernetem w globalnym nagłówku
* dodano dokumentację kodu źródłowego
0.1 - 01.03.2012
* to jest pierwsza wersja, wszystko się zmieniło :-)
PRAWA AUTORSKIE
Prawa autorskie (c) 2012-2014 Robert Krause
Pcapfix jest wolnym oprogramowaniem: możesz je redystrybuować i/lub modyfikować zgodnie z warunkami
Powszechna Licencja Publiczna GNU opublikowana przez Free Software Foundation, wersja 3
Licencji lub jakiejkolwiek późniejszej wersji.
Pcapfix jest rozpowszechniany w nadziei, że będzie użyteczny, ale BEZ JAKIEJKOLWIEK GWARANCJI;
bez dorozumianej gwarancji PRZYDATNOŚCI HANDLOWEJ lub PRZYDATNOŚCI DO OKREŚLONEGO CELU.
Więcej szczegółów znajdziesz w Powszechnej Licencji Publicznej GNU.
Korzystaj z pcapfix online, korzystając z usług onworks.net
