- 当前位置:首页 >系统运维 >如何选择服务器操作系统?
- 尼康851.4G头(打造出色人像摄影的必备利器)
- 探索森海塞尔MX685的音质和舒适度(体验无与伦比的音频表现和全天候的佩戴舒适)
- 亿林云光纤(拥抱高速互联网时代,畅游无限可能)
- 探索荒野之息(揭秘全神庙详细地图,解谜游戏中的隐秘宝藏与精彩冒险)
- 以用名字全拼做域名的利与弊(个人品牌建设的关键之一及域名选择的重要性)
- 揭秘大华解码技术的卓越表现(以释码大华怎么样为主题的技术突破与应用实例)
- 探究公牛灯带的功能与优势(打造独特灯光氛围的首选之一)
- 详解如何使用U盘重装戴尔系统(一步步教你重装戴尔系统,轻松搞定电脑问题)
- 让电扇带来清凉的小技巧(轻松应对炎热夏日的高温天气)
- MacooxX7(探索MacooxX7的卓越性能和创新特点)
- 以得胜TS610耳机的音质和舒适度夺人心魄(颠覆传统,带来极致音乐体验)
- 探索荣耀自拍杆的拍摄魅力(解锁你的自拍潜力,让每一张照片都令人惊叹)
- 佳能242.8挂机镜头的全面评测(探索佳能242.8挂机镜头的性能和适用性能力)
- 使用U盘MaxDOS安装教程(简单快速的系统安装方法)
- 富士200拍人的魅力(捕捉人物瞬间的绝佳选择)
- 电脑进入U盘启动模式的方法(轻松学会通过简易步骤进入U盘启动模式)
- 笔记本电脑AHCI模式教程(了解AHCI模式,提升笔记本电脑性能)
- 轻松解除U盘写保护的方法(终结烦恼,摆脱U盘写保护限制)
- 假如你是一个测试入侵侦测系统或一些网络访问控制策略的网络管理员,那么你经常需要抓取数据包并在离线状态下分析这些文件。当需要保存捕获的数据包时,我们一般会存储为 libpcap 的数据包格式 pcap,这是一种被许多开源的嗅探工具以及捕包程序广泛使用的格式。假如 pcap 文件被用于入侵测试或离线分析的话,那么在将他们注入网络之前通常要先对 pcap 文件进行一些操作。在该文中,我将介绍一些操作 pcap 文件的工具,以及如何使用它们 。Editcap 与 MergecapWireshark,是最受欢迎的 GUI 嗅探工具,实际上它带了一套非常有用的命令行工具集。其中包括 editcap 与 mergecap。editcap 是一个万能的 pcap 编辑器,它可以过滤并且能以多种方式来分割 pcap 文件。mergecap 可以将多个 pcap 文件合并为一个。 该文就是基于这些 Wireshark 命令行工具的。假如你已经安装过 Wireshark 了,那么这些工具已经在你的系统中了。假如还没装的话,那么我们接下来就安装 Wireshark 命令行工具。 需要注意的是,在基于 Debian 的发行版上我们可以不用安装 Wireshark GUI 而仅安装命令行工具,但是在 Red Hat 及 基于它的发行版中则需要安装整个 Wireshark 包。Debian, Ubuntu 或 Linux Mint复制代码代码如下:$ sudo apt-get install wireshark-commonFedora, CentOS 或 RHEL复制代码代码如下:$ sudo yum install wireshark当安装好工具后, 就可以开始使用 editca 与 mergecap 了。pcap 文件过滤通过 editcap, 我们能以很多不同的规则来过滤 pcap 文件中的内容,并且将过滤结果保存到新文件中。首先,以“起止时间”来过滤 pcap 文件。 - A < start-time >和 - B < end-time >选项可以过滤出在这个时间段到达的数据包(如,从 2:30 ~ 2:35)。时间的格式为 “ YYYY-MM-DD HH:MM:SS。复制代码代码如下:$ editcap -A 2014-12-10 10:11:01 -B 2014-12-10 10:21:01 input.pcap output.pcap 也可以从某个文件中提取指定的 N 个包。下面的命令行从 input.pcap 文件中提取100个包(从 401 到 500)并将它们保存到 output.pcap 中:复制代码代码如下:$ editcap input.pcap output.pcap 401-500使用 -D < dup-window > (dup-window可以看成是对比的窗口大小,仅与此范围内的包进行对比)选项可以提取出重复包。每个包都依次与它之前的 < dup-window >-1 个包对比长度与MD5值,假如有匹配的则丢弃。复制代码代码如下:$ editcap -D 10 input.pcap output.pcap 遍历了 37568 个包, 在 10 窗口内重复的包仅有一个,并丢弃。也可以将 < dup-window >定义成时间间隔。使用-w < dup-time-window >选项,对比< dup-time-window >时间内到达的包。复制代码代码如下:$ editcap -w 0.5 input.pcap output.pcap 检索了 50000 个包, 以0.5s作为重复窗口,未找到重复包。分割 pcap 文件当需要将一个大的 pcap 文件分割成多个小文件时,editcap 也能起很大的作用。将一个 pcap 文件分割成数据包数目相同的多个文件复制代码代码如下:$ editcap -c 输出的每个文件有相同的包数量,以 < output-prefix >-NNNN的形式命名。以时间间隔分割 pcap 文件复制代码代码如下: $ editcap -i 合并 pcap 文件假如想要将多个文件合并成一个,用 mergecap 就很方便。当合并多个文件时,mergecap 默认将内部的数据包以时间先后来排序。复制代码代码如下:$ mergecap -w output.pcap input.pcap input2.pcap [input3.pcap . . .]假如要忽略时间戳,仅仅想以命令行中的顺序来合并文件,那么使用 -a 选项即可。例如,下列命令会将 input.pcap 文件的内容写入到 output.pcap, 并且将 input2.pcap 的内容追加在后面。复制代码代码如下:$ mergecap -a -w output.pcap input.pcap input2.pcap 总结在这篇指导中,我演示了多个 editcap、 mergecap 操作 pcap 文件的例子。除此之外,还有其它的相关工具,如 reordercap用于将数据包重新排序,text2pcap 用于将 pcap 文件转换为文本格式, pcap-diff用于比较 pcap 文
- 以天创资本(揭秘以天创资本的投资策略与成功之道)
随便看看
香港云服务器服务器租用IT技术网益华科技IT资讯网企商汇源码下载亿华云源码库极客编程技术快报益强智囊团益强科技运维纵横云智核亿华智慧云亿华科技思维库亿华云计算创站工坊亿华云码上建站科技前瞻智能时代益强科技益强编程堂全栈开发亿华灵动益强智未来益强编程舍益华科技益强资讯优选多维IT资讯编程之道汇智坊益强IT技术网云站无忧码力社亿华互联极客码头益强数据堂
- Copyright © 2025 Powered by 如何选择服务器操作系统?,创站工坊 滇ICP备2023006006号-44sitemap