wireshark工具集
系統(tǒng)
1920 0
tshark
-
查看
pcap
文件第一個包的時間,當文件名不包含時間信息時非常有幫助?
tshark?-c?1?-T?fields?-e?frame.time?-r?test.pcap
dumpcap
editcap
基本語法
editcap?[options]?...?<infile>?<outfile>?[?<packet#>[-<packet#>]?...?]
主要參數(shù)分類含義權(quán)作解說
包選擇類
-r?
保留選擇的包;默認為刪除。
-A?<start?time>?
選擇所有包的時間戳大于該時間的包。
-B?<stop?time>?
選擇所有包的時間戳小于該時間的包。
刪除重復包類
-d?
刪除重復的包(默認
5
個內(nèi)進行比對)。
-D?<dup?window>?
刪除重復的包,并指定在
<dup?window>
個包內(nèi)進行比對
<dup?window>
的范圍為
0-1000000
。
-w?<dup?time?window>?
刪除重復的包,并指定時間在
<dup?time?window>
之前的數(shù)據(jù)包才做重復刪除操作。
處理類
-s?<snaplen>?
將數(shù)據(jù)包截斷成長度為
<snaplen>
的數(shù)據(jù)包。
-C?<choplen>?
將包尾的
<choplen>
個字節(jié)砍掉。
-t?<time?adjustment>?
調(diào)整包的時間戳
;<time?adjustment>?
即可以為正數(shù),也可以為負數(shù)。
-E?<error?probability>?
按照
<error?probability>
的比例隨機制造錯包,例如
<error?probability>
為
0.05
,則包文件中
5%
的包會隨機被配置為各種錯包。
輸出類
-c?<packets?per?file>?
按包個數(shù)分割包文件,如
<packets?per?file>
為
1000
,則將原始包文件分割成多個文件,每個文件的包個數(shù)為
1000
,當然最后一個文件的包數(shù)可以小于等于
1000.
-i?<seconds?per?file>?
按時間分割包文件,如
<seconds?per?file>
為
10
,則每個被分割的文件中的包時間戳均在
10s
內(nèi),且每個包的時間戳又會從
0
開始
.
-F?<capture?type>?
設(shè)置輸出文件的格式,默認為
pcapng
。
-T?<encap?type>?
設(shè)置輸出文件中包封裝的類型,默認和原始包封裝類型一致。
使用示例
1.
將數(shù)據(jù)包截斷為
64
字節(jié)長度,且轉(zhuǎn)換為
snoop
的格式:
editcap?-s?64?-F?snoop?capture.pcap?shortcapture.snoop
2.
刪除原始文件中的第
1000
個數(shù)據(jù)包:
editcap?capture.pcap?sans1000.pcap?1000
3.
提取原始文件中的第
200
到
750
個包:
editcap?-r?capture.pcap?small.pcap?200-750
4.
提取原始文件中的第?
1,?5,?10?to?20?and?30?to?40
個包:
editcap?-r?capture.pcap?select.pcap?1?5?10-20?30-40
5.
刪除與前面
4
個包中有重復的包:
editcap?-d?capture.pcap?dedup.pcap
6.
刪除與前面
100
個包中有重復的包:
editcap?-D?101?capture.pcap?dedup.pcap
7.
是原始文件中
5%
的包隨機變?yōu)殄e包:
editcap?-E?0.05?capture.pcap?capture_error.pcap
capinfos
capinfos?-AM?test.pcap
mergecap
wireshark工具集
更多文章、技術(shù)交流、商務合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯(lián)系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元