सवाल एक पॅक फ़ाइल को छोटे समूहों के सेट में कैसे विभाजित करें


मेरे पास एक विशाल पॅक फ़ाइल है (टीसीपीडम्प द्वारा उत्पन्न)। जब मैं इसे वायरशर्क में खोलने की कोशिश करता हूं, तो प्रोग्राम सिर्फ उत्तरदायी नहीं होता है। क्या एक फ़ाइल को छोटे से सेट करने के लिए एक फ़ाइल को विभाजित करने का कोई तरीका है? फ़ाइल में कैप्चर किया गया यातायात दो सर्वरों पर दो प्रोग्रामों द्वारा उत्पन्न होता है, इसलिए मैं tcpdump 'host' या 'port' फ़िल्टर का उपयोग करके फ़ाइल को विभाजित नहीं कर सकता। मैंने linux 'split' कमांड भी कोशिश की है :-) लेकिन बिना किसी किस्मत के। Wireshark प्रारूप को पहचान नहीं होगा।


45
2018-04-13 08:19


मूल


कितना बड़ा है? क्या यह उपलब्ध रैम से बहुत बड़ा है? - pehrs
थोड़ा देर हो चुकी है, लेकिन कारण Wireshark उन फ़ाइलों को नहीं पढ़ेगा जो आउटपुट हैं split ऐसा इसलिए है क्योंकि विभाजन सटीक बाइट सीमाओं पर विभाजित होगा। यह एक पैकेट को विभाजित करने की अत्यधिक संभावना है जो कुछ फ़ाइल सामग्री को अमान्य करता है। - Burhan Ali


जवाब:


आप टीसीपीडम्प को स्वयं -C, -r और -w विकल्पों के साथ उपयोग कर सकते हैं

tcpdump -r old_file -w new_files -C 10

"-C" विकल्प फ़ाइल के आकार को विभाजित करने के लिए निर्दिष्ट करता है। उदाहरण: उपर्युक्त मामले में नई फाइल का आकार प्रत्येक 10 मिलियन बाइट होगा।


67
2018-04-13 09:33



बहुत अच्छा काम करता है! धन्यवाद! - Jinghao Shi
बहुत बढ़िया। बड़ी मदद। धन्यवाद। - Brijesh Valera
आप एक अद्भुत इंसान हैं, दान। - lobi
क्या सत्र को तोड़ने के बिना ऐसा करने का कोई तरीका है? (एक सत्र मानना ​​आकार सीमा तर्क से छोटा है)। - spanishgum


उपयोग editcap उपयोगिता जो वायर्सहार्क के साथ वितरित की जाती है।


18
2018-04-13 08:23



editpcap -c 1000 input.pcap output.pcap विभाजित होगा input.pcap प्रति कैप्चर अधिकतम 1000 पैकेट के साथ कैप्चर में। आउटपुट कई प्रारूपित फाइलों की तरह स्वरूपित होगा output_{index}_{timestamp}.pcap - blachniet
उदाहरण के लिए आप Blachniet धन्यवाद! लेकिन यह बस है editcap, नहीं editpcap, सही? - lindhe


जाने का सबसे अच्छा और तेज़ तरीका स्प्लिट कैप का उपयोग करना है, जो उदाहरण के लिए सत्रों के आधार पर बड़ी पैकेट डंप फ़ाइलों को विभाजित कर सकता है। इस तरह आप एक अलग पीसीएपी फ़ाइल में प्रत्येक टीसीपी सत्र प्राप्त करेंगे। स्प्लिट कैप आईपी पते के आधार पर पैकेट फ़ाइलों को पैकेट फ़ाइलों में भी अलग कर सकता है।

आप Netresec ब्लॉग पर स्प्लिट कैप के बारे में अधिक पढ़ सकते हैं: http://www.netresec.com/?page=Blog&month=2011-05&post=Split-or-filter-your-PCAP-files-with-SplitCap

यहां से स्प्लिट कैप डाउनलोड करें: http://www.netresec.com/?page=SplitCap

सौभाग्य!


2
2018-05-10 17:29



क्या कोई लिनक्स संस्करण हैं? - ychaouche
यह एक अच्छा कार्यक्रम है, इसमें pcapng फ़ाइलों के साथ काम करने की क्षमता की कमी है। - Guntram Blohm


मुझे पता है कि यह जवाब थोड़ा देर हो चुकी है, लेकिन यह अन्य लोगों की भी सेवा कर सकती है। मुझे पैपिंग फ़ाइलों को विभाजित करने के लिए एक शानदार टूल मिला: PcapSplitter। यह का हिस्सा है PcapPlusPlus लाइब्रेरी जिसका अर्थ है कि यह क्रॉस-प्लेटफार्म (विन 32, लिनक्स और मैक ओएस) है, और यह फ़ाइल आकार (जो आपको चाहिए) के आधार पर विभिन्न मानदंडों के आधार पर पैक फ़ाइलों को विभाजित कर सकता है लेकिन कनेक्शन, क्लाइंट / सर्वर आईपी, सर्वर पोर्ट ( प्रोटोकॉल के समान), पैकेट गिनती, आदि। मैंने इसे बहुत उपयोगी पाया। उपरोक्त लिंक स्रोत कोड के लिए है, लेकिन यदि आप नहीं चाहते हैं / संकलित करना चाहते हैं, तो मैंने बनाया है संकलित बाइनरी कई प्लेटफ़ॉर्म के लिए मैं इस टूल का उपयोग कर रहा हूं। मैं इस उपकरण की बहुत सिफारिश करता हूं

संपादित करें: स्पष्ट रूप से PcapPlusPlus का एक नया संस्करण जारी किया गया था और इसमें कई प्लेटफॉर्म (विंडोज़, उबंटू 12.04 / 14.04, मैक ओएसएक्स मैवरिक्स / योसेमेट / एल कैप्टन) के लिए पॅकस्प्लिटर बाइनरी शामिल हैं। मुझे लगता है कि मैंने पहले दिए गए लिंक से इन बाइनरी का उपयोग करना बेहतर होगा। आप इसे पा सकते हैं यहाँ


2
2017-07-08 21:45