GNU/Linux >> Belajar Linux >  >> Linux

Panduan Editcap:11 Contoh Untuk Menangani Dump Paket Jaringan Secara Efektif


Foto milik Michael_P

Artikel ini ditulis oleh Balakrishnan M
 
Utilitas Editcap digunakan untuk memilih atau menghapus paket tertentu dari file dump dan menerjemahkannya ke dalam format tertentu. Editcap tidak melakukan pengambilan paket seperti ethereal. Sebagai gantinya, ia beroperasi pada paket yang ditangkap dan menulis beberapa paket yang diperlukan ke file lain. Kami dapat memberikan berbagai opsi ke editcap untuk mendapatkan paket pilihan kami.

Dalam artikel ini, mari kita tinjau 11 contoh praktis tentang cara menggunakan editcap untuk menangani dump paket secara efektif.

Tujuan Utama editcap

Berikut adalah alasan utama untuk menggunakan perintah editcap.

  • Membagi file dump menjadi beberapa file.
  • Pilih hanya paket yang diperlukan.
  • Terjemahkan file tangkapan dari satu format ke format lainnya.
  • Kemampuan membaca dari file dump terkompresi.
  • Permudah pekerjaan alat penganalisa jaringan dengan hanya memuat paket selektif, daripada memuat seluruh dump.
  • Semua fitur menghasilkan konsumsi waktu yang lebih sedikit saat memproses atau menganalisis paket.


Mari kita asumsikan skenario di mana Anda harus menganalisis hanya beberapa jenis paket tertentu dalam file dump besar. Dalam situasi ini, kami tidak dapat menggunakan penganalisis paket jaringan (wireshark atau ethereal) untuk memuat file dump besar dalam satu shoh, karena ini akan menjadi proses intensif CPU dan sistem dapat hang. Utilitas Editicap mempermudah pekerjaan dengan hanya memberikan paket yang relevan, sehingga dapat dimuat oleh alat penganalisa jaringan dalam waktu cepat.

editcap tersedia dalam paket wireshark. Pastikan paket wireshark/ethereal diinstal untuk menggunakan editcap.
 

11 Contoh Praktis Penggunaan edicap

Contoh 1:Buang kumpulan paket dari awal file input_dump

File output_dump akan berisi semua paket kecuali 10 paket pertama.

# editcap -v input_dump output_dump 1-10

Contoh 2:Buang kumpulan paket dari tengah file input_dump

File output_dump akan berisi semua paket kecuali paket dari 200 hingga 210.

# editcap -v input_dump output_dump 200-210

Contoh 3:Pilih beberapa rentang paket (dari awal dan tengah)

File output_dump akan berisi 10 paket pertama dan paket dari 100 dan 200.

# editcap -r  -v input_dump output_dump 1-10  100-200

Contoh 4:Ubah jenis enkapsulasi file capture menggunakan opsi -T

Secara default, tipe enkapsulasi file dump adalah eter. Contoh di bawah, menerjemahkan file capture ke dalam format ieee-802-11-bsd

# editcap -v -T  ieee-802-11-radiotap input_dump output_dump

Contoh 5:Memproses file input_dump terkompresi

editcap secara otomatis mendeteksi format file capture terkompresi. Saat ini mendukung untuk format gzip. Pada contoh di bawah, dibutuhkan paket dari file input terkompresi dan menulis 10 paket pertama dan paket di antara 100 dan 200 ke dalam file output_dump.

# editcap -r -v input_dump.gz output_dump 1-10 100-200

Contoh 6:Ekstrak paket antara jangka waktu tertentu menggunakan opsi -A dan -B

Contoh ini membuat output_dump, yang berisi paket-paket yang ditangkap antara waktu yang disebutkan di opsi A dan waktu yang disebutkan di opsi B.

# editcap -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00"  input_dump output_dump

Contoh 7:Ubah stempel waktu paket (kurangi atau tambah) menggunakan opsi -t

Untuk memajukan stempel waktu paket menjadi satu jam.

# editcap -t 3600 input_dump output_dump


Untuk mengurangi waktu paket menjadi 30 menit,

# editcap -t -1800 input_dump output_dump

Contoh 8:Hapus paket duplikat dari file output_dump menggunakan opsi -d

Contoh di bawah ini melihat kembali frame sebelumnya untuk menemukan duplikasi. Akhirnya memberikan dump yang tidak mengandung duplikasi.

# editcap -v -d input_dump output_dump

Contoh 9:Memotong paket dengan panjang tertentu menggunakan opsi -s

Menghasilkan file ouptut_dump dengan panjang paket terbatas hingga 100. Ini bisa sangat membantu dalam banyak situasi. Misalnya, Anda dapat menggunakan metode ini jika Anda hanya ingin mendapatkan lapisan IP dari semua paket dan tidak memerlukan lapisan lain.

# editcap -s 100 -v -A "2009-02-11 11:26:30" -B "2009-02-11 11:27:00"  input_dump.gz output_dump

Contoh 10:Bagi file input_dump menjadi beberapa file menggunakan opsi -c

Bagilah dump tunggal menjadi beberapa file dan masing-masing berisi sejumlah paket tertentu.

# editcap -v -c 1000 input_dump output

 
Jika input_dump berisi 5000 paket, editcap akan menghasilkan 5 file output yang berbeda.

output-00000 
output-00001    
output-00002
output-00003
output-00004

Contoh 11:Hapus byte tertentu dari bagian bawah semua paket menggunakan opsi -C

Contoh ini menghapus 10 byte dari setiap paket dan menulis ke file output. Anda dapat mengonfirmasi hal ini, dengan melihat file output di wireshark, lapisan bingkai setiap paket akan menampilkan “50 byte byte pada kabel, 40 byte ditangkap” (di sini ukuran sebenarnya dari sebuah paket adalah 50 byte).

# editcap -C 10 input_dump output

 
Artikel ini ditulis oleh Balakrishnan Mariyappan. Dia bekerja di bk Systems (p) Ltd, dan tertarik untuk berkontribusi pada open source. The Geek Stuff menyambut tips dan artikel tamu Anda.


Linux

  1. Perintah mv di Linux:7 Contoh Penting

  2. Contoh penggunaan perintah tcpdump untuk pemecahan masalah jaringan

  3. File Contoh Perintah di Linux

  1. Contoh Perintah ekor Linux

  2. Ifconfig:7 Contoh Konfigurasi Antarmuka Jaringan

  3. Gabungkan dan Tshark:Gabungkan Dump Paket dan Analisis Lalu Lintas Jaringan

  1. 8 Contoh Perintah Kepala di Linux

  2. 8 Contoh Perintah Stat di Linux

  3. ln Contoh Perintah di Linux