Photo publiée avec l'aimable autorisation de Michael_P
Cet article est écrit par Balakrishnan M
L'utilitaire Editcap est utilisé pour sélectionner ou supprimer des paquets spécifiques du fichier de vidage et les traduire dans un format donné. Editcap n'effectue pas de captures de paquets comme Ethereal. Au lieu de cela, il opère sur les paquets capturés et écrit certains des paquets requis dans un autre fichier. Nous pouvons passer diverses options à editcap pour obtenir nos paquets préférés.
Dans cet article, passons en revue 11 exemples pratiques d'utilisation d'editcap pour gérer efficacement les vidages de paquets.
Objectif principal de editcap
Voici la principale raison d'utiliser la commande editcap.
- Diviser un fichier de vidage en plusieurs fichiers.
- Sélectionnez uniquement les paquets requis.
- Traduire le fichier de capture d'un format à un autre.
- Capacité à lire à partir d'un fichier de vidage compressé.
- Simplifiez la tâche de l'outil d'analyse de réseau en ne chargeant que des paquets sélectifs, au lieu de charger un vidage complet.
- Toutes les fonctionnalités permettent de gagner du temps lors du traitement ou de l'analyse des paquets.
Imaginons le scénario dans lequel vous devez analyser uniquement certains types de paquets spécifiques dans un énorme fichier de vidage. Dans cette situation, nous ne pouvons pas utiliser l'analyseur de paquets réseau (wireshark ou ethereal) pour charger l'énorme fichier de vidage en un seul shoh, car ce sera un processus gourmand en CPU et le système peut se bloquer. L'utilitaire Editicap facilite le travail en ne donnant que les paquets pertinents, afin qu'il puisse être chargé par l'outil d'analyse de réseau en un temps record.
editcap est disponible dans le package wireshark. Assurez-vous que le package wireshark/ethereal est installé pour utiliser l'editcap.
11 exemples pratiques d'utilisation d'edicap
Exemple 1 :Supprimer un ensemble de paquets depuis le début du fichier input_dump
Le fichier output_dump contiendra tous les paquets sauf les 10 premiers paquets.
# editcap -v input_dump output_dump 1-10
Exemple 2 :Supprimer un ensemble de paquets au milieu du fichier input_dump
Le fichier output_dump contiendra tous les paquets sauf les paquets de 200 à 210.
# editcap -v input_dump output_dump 200-210
Exemple 3 :sélectionnez plusieurs plages de paquets (du début au milieu)
Le fichier output_dump contiendra les 10 premiers paquets et les paquets de 100 à 200.
# editcap -r -v input_dump output_dump 1-10 100-200
Exemple 4 :Modifier le type d'encapsulation du fichier de capture à l'aide de l'option -T
Par défaut, le type d'encapsulation du fichier de vidage est ether. L'exemple ci-dessous traduit le fichier de capture au format ieee-802-11-bsd
# editcap -v -T ieee-802-11-radiotap input_dump output_dump
Exemple 5 :Traiter les fichiers input_dump compressés
editcap détecte automatiquement les formats de fichiers de capture compressés. Actuellement, il prend en charge le format gzip. Dans l'exemple ci-dessous, il prend des paquets du fichier d'entrée compressé et écrit les 10 premiers paquets et les paquets entre 100 et 200 dans le fichier output_dump.
# editcap -r -v input_dump.gz output_dump 1-10 100-200
Exemple 6 :Extraire des paquets entre une période spécifique à l'aide des options -A et -B
Cet exemple crée le output_dump, qui contient les paquets capturés entre l'heure mentionnée dans l'option A et l'heure mentionnée dans l'option B.
# editcap -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00" input_dump output_dump
Exemple 7 :modifier l'horodatage d'un paquet (réduire ou avancer) à l'aide de l'option -t
Pour avancer l'horodatage des paquets à une heure.
# editcap -t 3600 input_dump output_dump
Pour réduire l'horodatage des paquets à 30 minutes,
# editcap -t -1800 input_dump output_dump
Exemple 8 :Supprimer les paquets en double du fichier output_dump à l'aide de l'option -d
L'exemple ci-dessous revient sur les images précédentes pour trouver la duplication. Enfin ça donne le dump qui ne contient pas de duplication.
# editcap -v -d input_dump output_dump
Exemple 9 :Tronquer les paquets à la longueur spécifique à l'aide de l'option -s
Produit le fichier ouptut_dump avec une longueur de paquets limitée à 100. Cela peut être très utile dans de nombreuses situations. Par exemple, vous pouvez utiliser cette méthode si vous souhaitez obtenir uniquement la couche IP de tous les paquets et ne nécessite aucune autre couche.
# editcap -s 100 -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00" input_dump.gz output_dump
Exemple 10 :Diviser le fichier input_dump en plusieurs fichiers à l'aide de l'option -c
Divisez le vidage unique en plusieurs fichiers et chacun contient un nombre spécifié de paquets.
# editcap -v -c 1000 input_dump output
Si input_dump contient 5000 paquets, editcap générera les 5 fichiers de sortie différents suivants.
output-00000 output-00001 output-00002 output-00003 output-00004
Exemple 11 :Supprimer certains octets du bas de tous les paquets à l'aide de l'option -C
Cet exemple supprime 10 octets de chaque paquet et écrit dans le fichier de sortie. Vous pouvez le confirmer, en visualisant le fichier de sortie dans wireshark, la couche de trame de chaque paquet affichera "50 octets octets sur le fil, 40 octets capturés" (ici, la taille réelle d'un paquet est de 50 octets).
# editcap -C 10 input_dump output
Cet article a été écrit par Balakrishnan Mariyappan. Il travaille chez bk Systems (p) Ltd et souhaite contribuer à l'open source. The Geek Stuff accueille vos conseils et articles invités.