editcap 的使用
-
按照时间范围进行截取包
- editcap -A 'YYYY-MM-DD hh:mm:ss' -B 'YYYY-MM-DD hh:mm:ss' infile outfile 从infile文件中选取从A-B时间范围内的包 输出到outfile中
- editcap -A 'YYYY-MM-DD hh:mm:ss' infile outfile 从infile文件中选取A时间点之后的数据,输出到outfile中
- editcap -B 'YYYY-MM-DD hh:mm:ss' infile outfile 从infile文件中选取B时间点之前的数据,输出到outfile中
-
去重 匹配重复方式,遍历文件中的报文,将遍历当前的包的md5哈希值与前4个报文比较(window==5),如果找到则删除当前报文。 -D 10 将比较的window调整为10,将与前10个报文进行比较。
- editcap -d infile outfile (默认window=5)
- editcap -d -D (0-1000000) infile outfile
-
设置输出文件的方式
- -c
多少个数据包保存一个文件 - editcap -c 10 infile outfile 每10个数据包分一个文件
- -i
每几秒数据保存一个文件 - editcap -i 2 infile outfile 每2秒的数据包保存一个文件
- -c
-
数据包编辑操作
- editcap -t ts infile outfile 对infile数据中每个包往前调整ts秒, ts为相对时间(-1,往后调整)
- editcap -s snaplen infile outfile 对于超过snaplen字节的数据包进行截断
- +---+-------+-----------+---------------+-------------------+
| 5 | 10 | 15 | 20 | 25 |
+---+-------+-----------+---------------+-------------------+ - editcap -C 5:10 -C -25:-20 infile outfile 删除10和20区域字节
tcpdump 的使用
- tcpdump -i eth3 tcp port 5236 and host 172.16.24.13 -w dm.pcap
- -i 指定网卡
- port 指定抓取的端口号
- host 指定ip地址
- -w dm.pcap 抓取到dm.cap文件中
- tcpdump -i eth1 -nnn udp port 21001
- -i 指定网卡
- -nnn 指定通信协议
- port 指定端口号