wireshark工具集
系統(tǒng)
2197 0
tshark
-
查看
pcap
文件第一個(gè)包的時(shí)間,當(dāng)文件名不包含時(shí)間信息時(shí)非常有幫助?
tshark?-c?1?-T?fields?-e?frame.time?-r?test.pcap
dumpcap
editcap
基本語(yǔ)法
editcap?[options]?...?<infile>?<outfile>?[?<packet#>[-<packet#>]?...?]
主要參數(shù)分類(lèi)含義權(quán)作解說(shuō)
包選擇類(lèi)
-r?
保留選擇的包;默認(rèn)為刪除。
-A?<start?time>?
選擇所有包的時(shí)間戳大于該時(shí)間的包。
-B?<stop?time>?
選擇所有包的時(shí)間戳小于該時(shí)間的包。
刪除重復(fù)包類(lèi)
-d?
刪除重復(fù)的包(默認(rèn)
5
個(gè)內(nèi)進(jìn)行比對(duì))。
-D?<dup?window>?
刪除重復(fù)的包,并指定在
<dup?window>
個(gè)包內(nèi)進(jìn)行比對(duì)
<dup?window>
的范圍為
0-1000000
。
-w?<dup?time?window>?
刪除重復(fù)的包,并指定時(shí)間在
<dup?time?window>
之前的數(shù)據(jù)包才做重復(fù)刪除操作。
處理類(lèi)
-s?<snaplen>?
將數(shù)據(jù)包截?cái)喑砷L(zhǎng)度為
<snaplen>
的數(shù)據(jù)包。
-C?<choplen>?
將包尾的
<choplen>
個(gè)字節(jié)砍掉。
-t?<time?adjustment>?
調(diào)整包的時(shí)間戳
;<time?adjustment>?
即可以為正數(shù),也可以為負(fù)數(shù)。
-E?<error?probability>?
按照
<error?probability>
的比例隨機(jī)制造錯(cuò)包,例如
<error?probability>
為
0.05
,則包文件中
5%
的包會(huì)隨機(jī)被配置為各種錯(cuò)包。
輸出類(lèi)
-c?<packets?per?file>?
按包個(gè)數(shù)分割包文件,如
<packets?per?file>
為
1000
,則將原始包文件分割成多個(gè)文件,每個(gè)文件的包個(gè)數(shù)為
1000
,當(dāng)然最后一個(gè)文件的包數(shù)可以小于等于
1000.
-i?<seconds?per?file>?
按時(shí)間分割包文件,如
<seconds?per?file>
為
10
,則每個(gè)被分割的文件中的包時(shí)間戳均在
10s
內(nèi),且每個(gè)包的時(shí)間戳又會(huì)從
0
開(kāi)始
.
-F?<capture?type>?
設(shè)置輸出文件的格式,默認(rèn)為
pcapng
。
-T?<encap?type>?
設(shè)置輸出文件中包封裝的類(lèi)型,默認(rèn)和原始包封裝類(lèi)型一致。
使用示例
1.
將數(shù)據(jù)包截?cái)酁?
64
字節(jié)長(zhǎng)度,且轉(zhuǎn)換為
snoop
的格式:
editcap?-s?64?-F?snoop?capture.pcap?shortcapture.snoop
2.
刪除原始文件中的第
1000
個(gè)數(shù)據(jù)包:
editcap?capture.pcap?sans1000.pcap?1000
3.
提取原始文件中的第
200
到
750
個(gè)包:
editcap?-r?capture.pcap?small.pcap?200-750
4.
提取原始文件中的第?
1,?5,?10?to?20?and?30?to?40
個(gè)包:
editcap?-r?capture.pcap?select.pcap?1?5?10-20?30-40
5.
刪除與前面
4
個(gè)包中有重復(fù)的包:
editcap?-d?capture.pcap?dedup.pcap
6.
刪除與前面
100
個(gè)包中有重復(fù)的包:
editcap?-D?101?capture.pcap?dedup.pcap
7.
是原始文件中
5%
的包隨機(jī)變?yōu)殄e(cuò)包:
editcap?-E?0.05?capture.pcap?capture_error.pcap
capinfos
capinfos?-AM?test.pcap
mergecap
wireshark工具集
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫(xiě)作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元