我有一个包含很多数据包的PCAP文件。 但是,它们是基于时间戳(实际上是随机的)。 根据时间戳有效sortingPCAP数据包以便以后重放,最好的方法是什么? 目前我正在通过Scapy和Python来完成这个任务 。 这工作,但真的很慢。 此外,它将转储完全加载到内存中,其中时间戳实际上是足够的。 我知道sorting是一个昂贵的操作,但这种方法需要近4分钟的时间,在一个现代的Core i7包含778589数据包的344MB文件。 我也知道Wireshark应该包含“reordercap” ,但是这个工具不包括在当前的Debian和Ubuntu版本中。 在尝试从源代码构buildWireshark之前,也许有人对这个工具有经验,并可以build议性能如何。 所以,回到问题:如何有效地对PCAP文件中的数据包进行时间戳分类? 内存不是限制,因为PCAP不会超过2GB,并且有足够的内存,但是运行时对我来说很重要。 它应该尽快完成。 先谢谢你!
我有一个文件夹(包含许多子文件夹)完整的pcap文件,我想获得所有包含符合一定条件的数据包的pcap文件,例如“有源IP 1.1.1.1”。 你知道有什么工具可以做这种search吗? 我需要这两个Windows和Ubuntu
我用tshark使用这个命令: tshark -r pcapfile "tcp and ip.src==192.168.1.1" -T text -V -x | grep 'Total Length' 这基本上parsing了来自源ip的连接的pcap,并从每个包中查找总长度(以字节为单位)。 我得到这样的输出: Total Length: 125 Total Length: 210 Total Length: 40 Total Length: 125 > etc, etc…. 我需要做的是从Total Length中获取数字,然后将它们相加,这样我就可以了解在单个IP的pcap时间范围内通过networking传输了多less数据。 有一个命令,我可以添加在我用来做到这一点的结尾? 或者有没有一种方法可以直接inputstdout,然后将其传递给一个可以parsing和计算我之后的程序? 任何人都知道与tcpdump类似的命令可以做到这一点?
是否有可能根据简单的标准将PCAPS分成多个文件 Origional.pcap {在端口80上分割}生成2个以下文件 all_port_80.pcap everything_else.pcap 或者,创build多个符合我的标准的不同tcpdump会更容易一些 谢谢
我想从我的pcap跟踪文件中提取会话级别(stream水平)信息。 我想为会话(stream)的每一行生成以下数据: Flow_num, IP_Src, IP_Dst, Flow_start_time, Flow_Duration, Flow_type (video/image/text/…), Protocol, Flow_size
我有一个来自我的networking服务器的一些HTTPSstream量的PCAP格式。 所以我可以使用我的web服务器上的密钥解密wireshark中的stream量。 我现在面临的问题是,我无法从wireshark获得未encryption的pcap文件。 我想在tcpreplay上使用未encryption的pcap文件来重放跟踪以进行监视。 如何创buildpcap文件与来自我的其他PCAP文件解密的HTTPSstream量?
这似乎是可能的基于规范rfc 3315第23页 : 摘抄: The configuration information in an IA consists of one or more IPv6 addresses along with the times T1 and T2 for the IA. See section 22.4 for the representation of an IA in a DHCP message. 但是,我还没有能够configuration我的DHCPv6客户端在一个接口上请求这些多个IP地址。 有谁知道如何为Linux DHCPv6客户端(最好运行RedHat 6+,CentOS 6+,或Fedora),或在Windows上做到这一点? 我的最终目标是对PCAP文件进行一些testing。 我宁愿能够自己生成这些文件,但如果我不能configuration我的客户端,我想在互联网上find一些我可以使用的PCAP文件。 到目前为止,我还没有find任何东西。 谢谢!
我有一个PCAP文件,其中包含SSLencryption的HTTPstream量和来自相关Web服务器的私钥。 我想要一个PCAP文件,其中包含解密的HTTPstream量喂养到一个不同的工具。 我已经能够得到tshark解密和显示HTTP协议; 但是,当我将结果输出到数据包转储文件时,该文件仍包含SSLencryption通信。 我可以使用tshark来重build和写入一个带有解密stream量的PCAP吗? 我目前使用下面的命令: ./tshark \ -o ssl.desegment_ssl_records:TRUE \ -o ssl.desegment_ssl_application_data:TRUE \ -o ssl.keys_list:"127.0.0.1","443","http","../snakeoil/rsasnakeoil2.key" \ -V -2 -R http \ -r ../snakeoil/rsasnakeoil2.cap \ -w out.pca
我想使用下面的命令来允许使用libpcap软件包,而不用sudo(在debian系统上): sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/nodejs 我得到这个错误: Failed to set capabilities on file `/usr/bin/nodejs' (Invalid argument) The value of the capability argument is not permitted for a file. Or the file is not a regular (non-symlink) file 但是/usr/bin/nodejs不是符号链接: -rwxr-xr-x 1 root root 18M Jun 3 03:20 /usr/bin/nodejs USER@HOST:~$ which nodejs /usr/bin/nodejs 我的驱动器是这样安装的: USER@HOST:~$ cat /etc/fstab […]
我有一个pcap捕获袜子stream量。 交通就像 – client_ip <-> 127.0.0.1:9050 <-> destination_ip 因此,在wireshark看pcap显示: src_ip = 127.0.0.1 dst_ip = 127.0.0.1 是否有可能更改src_ip和dst_ip地址? 我尝试bittwiste为: bittwiste -I in.pcap -O out.pcap -T ip -p 6 -s 127.0.0.1,1.2.3.4 -d 127.0.0.1,4.3.2.1 但是,只有第一个logging被修改。 所有来自第二个起始的数据包保持不变。 我也试过tcprewrite: tcprewrite –seed=325 –infile=in.pcap –outfile=out.pcap 这将所有src_ip&dst_ip(127.0.0.1)更改为相同的随机IP,因为它只find一个(相同的)端点IP。 如何修改socksstream量捕获中的src&dst ip地址? 谢谢