Foto cortesía de Michael_P
Este artículo está escrito por Balakrishnan M
La utilidad Editcap se utiliza para seleccionar o eliminar paquetes específicos del archivo de volcado y traducirlos a un formato determinado. Editcap no realiza capturas de paquetes como ethereal. En su lugar, opera en los paquetes capturados y escribe algunos de los paquetes requeridos en otro archivo. Podemos pasar varias opciones a editcap para obtener nuestros paquetes preferidos.
En este artículo, revisemos 11 ejemplos prácticos sobre cómo usar editcap para manejar los volcados de paquetes de manera efectiva.
Propósito principal de editcap
Las siguientes son las razones principales para usar el comando editcap.
- Divida un archivo de volcado en varios archivos.
- Seleccione solo los paquetes requeridos.
- Traducir el archivo de captura de un formato a otro.
- Capacidad de leer desde un archivo de volcado comprimido.
- Simplifique el trabajo de la herramienta de análisis de red cargando solo paquetes selectivos, en lugar de cargar todo el volcado.
- Todas las características dan como resultado un menor consumo de tiempo al procesar o analizar paquetes.
Supongamos el escenario en el que tiene que analizar solo algunos tipos de paquetes específicos en un gran archivo de volcado. En esta situación, no podemos usar el analizador de paquetes de red (wireshark o ethereal) para cargar el enorme archivo de volcado de una sola vez, ya que será un proceso intensivo de la CPU y el sistema puede bloquearse. La utilidad Editicap facilita el trabajo al proporcionar solo los paquetes relevantes, por lo que la herramienta de análisis de red podría cargarlos rápidamente.
editcap está disponible en el paquete wireshark. Asegúrese de que el paquete wireshark/ethereal esté instalado para usar editcap.
11 ejemplos prácticos de uso de edicap
Ejemplo 1:descartar un conjunto de paquetes desde el principio del archivo input_dump
El archivo output_dump contendrá todos los paquetes excepto los primeros 10 paquetes.
# editcap -v input_dump output_dump 1-10
Ejemplo 2:descartar un conjunto de paquetes de la mitad del archivo input_dump
El archivo output_dump contendrá todos los paquetes excepto los paquetes del 200 al 210.
# editcap -v input_dump output_dump 200-210
Ejemplo 3:Seleccione varios rangos de paquetes (desde el principio y el medio)
El archivo output_dump contendrá los primeros 10 paquetes y los paquetes 100 y 200.
# editcap -r -v input_dump output_dump 1-10 100-200
Ejemplo 4:Cambie el tipo de encapsulación del archivo de captura usando la opción -T
De forma predeterminada, el tipo de encapsulación del archivo de volcado es ether. El siguiente ejemplo traduce el archivo de captura al formato ieee-802-11-bsd
# editcap -v -T ieee-802-11-radiotap input_dump output_dump
Ejemplo 5:Procesar los archivos input_dump comprimidos
editcap detecta automáticamente los formatos de archivo de captura comprimidos. Actualmente es compatible con el formato gzip. En el siguiente ejemplo, toma paquetes del archivo de entrada comprimido y escribe los primeros 10 paquetes y los paquetes entre 100 y 200 en el archivo output_dump.
# editcap -r -v input_dump.gz output_dump 1-10 100-200
Ejemplo 6:extraer paquetes entre un período de tiempo específico usando la opción -A y -B
Este ejemplo crea el output_dump, que contiene los paquetes que se capturan entre el tiempo mencionado en la opción A y el tiempo mencionado en la opción B.
# editcap -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00" input_dump output_dump
Ejemplo 7:Cambiar la marca de tiempo del paquete (reducir o avanzar) usando la opción -t
Para avanzar la marca de tiempo de los paquetes a una hora.
# editcap -t 3600 input_dump output_dump
Para reducir la marca de tiempo de los paquetes a 30 minutos,
# editcap -t -1800 input_dump output_dump
Ejemplo 8:eliminar paquetes duplicados del archivo output_dump usando la opción -d
El siguiente ejemplo mira hacia atrás los marcos anteriores para encontrar la duplicación. Finalmente da el volcado que no contiene duplicación.
# editcap -v -d input_dump output_dump
Ejemplo 9:trunque los paquetes a la longitud específica usando la opción -s
Produce el archivo ouptut_dump con una longitud de paquetes limitada a 100. Esto puede ser muy útil en muchas situaciones. Por ejemplo, puede usar este método si desea obtener solo la capa IP de todos los paquetes y no requiere otra capa.
# editcap -s 100 -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00" input_dump.gz output_dump
Ejemplo 10:Divida el archivo input_dump en varios archivos usando la opción -c
Divida el volcado único en varios archivos y cada uno contenga un número específico de paquetes.
# editcap -v -c 1000 input_dump output
Si input_dump contiene 5000 paquetes, editcap generará los siguientes 5 archivos de salida diferentes.
output-00000 output-00001 output-00002 output-00003 output-00004
Ejemplo 11:elimine ciertos bytes de la parte inferior de todos los paquetes usando la opción -C
Este ejemplo elimina 10 bytes de cada paquete y escribe en el archivo de salida. Puede confirmar esto viendo el archivo de salida en wireshark, la capa de marco de cada paquete mostrará "50 bytes bytes en el cable, 40 bytes capturados" (aquí el tamaño real de un paquete es de 50 bytes).
# editcap -C 10 input_dump output
Este artículo fue escrito por Balakrishnan Mariyappan. Trabaja en bk Systems (p) Ltd y está interesado en contribuir al código abierto. The Geek Stuff agradece sus sugerencias y artículos de invitados.