问题标签 [editcap]

我在一个大的 pcapng 文件上使用带有选项“-d”的 editcap 来删除重复的数据包（源文件 11GB，新文件 5GB）。之后，我从两个 pcapng 文件中提取了所有包含的文件（免费使用 Networkminer）。我认为不会有数据丢失。相反，当我比较两个提取文件夹 (AssembledFiles) 时，我发现其中一个中缺少大约 30 个文件。这要怎么解释？为什么删除重复数据包会导致数据丢失？

我从“ https://www.wireshark.org/download.html ”下载了 Wireshark文件：Windows Installer (64-bit) - Stable Release 2.6.6 - (v2.6.6-0-gdf942cd8)

然后我从 Wireshark 安装文件夹中获得了 editcap (v 2.6.6.0)。<<...... c:\Program Files\Wireshark\ ......>>

批：

<<...

@echo 关闭
回声。
回声。
echo 1.打印editcap版本的
echo。
"c:\Program Files\Wireshark\editcap.exe" -V
回声。

回声。
echo 2. 从 File.pcapng
echo 中删除重复的数据包。
"c:\Program Files\Wireshark\editcap.exe" -d "File.pcapng" "File_nodup.pcapng"
回显。

回声。
echo 3. 将 File.pcapng 和 File_nodup.pcapng 转换为 pcap 格式
echo（为了使其对 NetworkMiner 免费可读，忘记提及这一步...）
echo。
"c:\Program Files\Wireshark\editcap.exe" -F pcap "File.pcapng" "File.pcap"
回显。
"c:\Program Files\Wireshark\editcap.exe" -F pcap "File_nodup.pcapng" "File_nodup.pcap"
回显。

回声完成。

暂停
……>>

结果：
<<...... Editcap (Wireshark) 2.6.6 (v2.6.6-0-gdf942cd8)

版权所有 1998-2019 Gerald Combs 和贡献者。许可证 GPLv2+：GNU GPL 版本 2 或更高版本http://www.gnu.org/licenses/old-licenses/gpl-2.0.html 这是免费软件；查看复制条件的来源。没有保修；甚至不考虑适销性或特定用途的适用性。

使用 GLib 2.42.0 和 zlib 1.2.11 编译（64 位）。

在 64 位 Windows 10 上运行，构建 17763，配备 Intel(R) Core(TM) i7-4770 CPU @ 3.40GHz（使用 SSE4.2），具有 7841 MB 物理内存，使用语言环境 C，支持二进制插件（1加载）。

使用 Microsoft Visual Studio 2017（VC++ 14.12，内部版本 25835）构建。

2. 从 File.pcapng 中删除重复的数据包

看到 13625734 个数据包，跳过 6814005 个数据包，重复窗口为 5 个数据包。

3. 将 File.pcapng 和 File_nodup.pcapng 转换为 pcap 格式
   （为了使其对 NetworkMiner 免费可读，忘记提及这一步...）

完毕。
……>>

新批次：

@echo 关闭
回声。
回声。
echo 1. 将 File.pcapng 转换为 pcap 格式
"c:\Program Files\Wireshark\editcap.exe" -F pcap "File.pcapng" "File.pcap"
echo。

回声。
echo 2. 从 File.pcap 中删除重复的数据包（需要参数“-F pcap”以避免输出重新转换为 pcapng...）
“c:\Program Files\Wireshark\editcap.exe”-d -F pcap“ File.pcap" "File_nodup.pcap"
回声。

回声完成。

我得到了需要拆分为时间间隔（例如：1 秒）的 .pcap 文件。这意味着例如第一组数据包在前 1 秒到达，然后下一组数据包在接下来的 1 秒到达，依此类推。当我使用下面的 python (3.7) 代码时，文件被拆分。但是所有拆分文件中的“与上一个显示帧的时间差”值都不同。它被分配为零。其他数据包的时间增量是正确的。只有所有拆分文件的第一个数据包不同。我需要拆分文件与原始文件具有相同的值。如何更改我的 python 代码以拆分 .pcap 文件并获得与原始文件相同的值。除了使用editcap还有其他方法吗？

如何根据时间间隔拆分wireshark文件。Editcap不允许以毫秒为单位拆分文件？只能使用editcap -i.

我目前在 Ubuntu 18.04 上安装了 Wireshark 2.6.8 和 3.0.2，我希望能够使用 3.0.2 安装中包含的 editcap 来修改 pcap 文件。

但是，每次我从终端运行 editcap（一个简单的 editcap -h 来验证我正在使用的构建）时，它都表明我是从 Editcap (Wireshark) 2.6.8（打包为 2.6 的 Git v2.6.8 运行它）。 8-1~ubuntu18.04.0)

有没有办法在不删除 Wireshark 2 的情况下改变这一点？

我需要从一个大的 pcap 中提取特定时间范围内的数据包。我发现 editcap 的 -A 和 -B 选项非常适合这项任务，除了我的目标时间范围是纪元时间，而 -A/B 需要格式为 YYYY-MM-DD HH:MM:SS 的时间。

我的问题是当我将纪元时间转换为 YYYY-MM-DD HH:MM:SS 时，我应该使用哪个时区？（我不确定这是否相关，但我使用的大 pcap 是从不同时区捕获的较小 pcap 的合并）。

我尝试了 tshark，它允许基于纪元时间（frame.time_epoch>=X）进行过滤，但 tshark 似乎资源昂贵，并且经常被我使用的 ubuntu 服务器杀死。

将不胜感激任何帮助！

我正在尝试将多个 pcap 文件合并在一起以在捕获后进行后处理，但是，我需要保留有关每个数据包的源文件的信息（文件名包含有关网络分流源的信息）。此信息在数据包本身的任何地方都不可用。我的想法是使用 pcapng 的便利性，它允许向数据包添加帧注释（frame.comment），并且可以使用 editcap 以编程方式完成。我可以使用它来将文件名中的信息添加到将被转发到合并文件中的每个数据包中。然而，editcap 似乎只允许您向特定框架添加评论，editcap -a <framenumber>:<comment>而不是一系列框架。手动执行此操作不是一个可行的选择，因为我正在处理大量大型 pcap 文件。想法？

我正在处理来自众多收集源的大量 pcap 文件。我需要以编程方式过滤，为此我使用 tshark，所以我首先使用 mergecap 将所有文件合并在一起。问题是我还需要仅在捕获文件名中可用的收集点信息。我尝试使用 editpcap 添加指定原始文件的每个数据包注释，但是这是站不住脚的（请参阅下面的解释）。任何想法如何在 pcap 文件合并后跟踪原始文件？

为什么editcap解决方案不起作用 我考虑在合并之前使用editcap在每个数据包上添加每个数据包的注释（如何在合并到单个文件之前为众多pcap文件中的所有数据包添加注释）但是这种方法的问题是editcap 要求在命令行上单独指定每个数据包注释（您不能指定数据包范围）。那是数十万条评论，命令行不支持它。此外，如果我尝试一次只用几条评论运行editpcap，它每次都会重写整个文件，导致数千次文件重写。也不可行。

当我尝试使用 editcap 转换.cap为 时.pcap，我得到：

'editcap：正在读取的捕获文件不能写为“.pcap”文件。'

Microsoft Network Monitor 生成的.cap文件看起来很特别，其中包含应用程序和其他信息。如何将其转换为类似于 Wireshark 生成的“.pcap”的内容。

我有一个从wireshark 导出的相当大的PCAP 文件。PCAP 如下所示：

...

我想根据时间列将 PCAP 文件拆分为 10 个较小的 PCAP。基本上，10 个 PCAP 文件，每个文件跨越大约 50 秒。

我认为 editcap 可能会帮助我，但我不确定正确的命令是什么。（直到 2 天前才听说过 editcap，哈哈）

我需要一种在 pcap 文件的数据包中插入、删除或修改十六进制数据字节的方法。是否有tshark命令或任何其他方法来执行此操作。

假设我想将数据的前 4 个字节从 900b 0000 修改为 801b 0101 或删除第一个字节或在 a57e 之后的末尾添加一组额外的字节？我该怎么做？