tshark
- 查看pcap文件第一个包的时间,当文件名不包含时间信息时非常有帮助
tshark -c 1 -T fields -e frame.time -r test.pcap
dumpcap
editcap
基本语法
editcap [options] ... <infile> <outfile> [ <packet#>[-<packet#>] ... ]
主要参数分类含义权作解说
包选择类
-r 保留选择的包;默认为删除。
-A <start time> 选择所有包的时间戳大于该时间的包。
-B <stop time> 选择所有包的时间戳小于该时间的包。
删除重复包类
-d 删除重复的包(默认5个内进行比对)。
-D <dup window> 删除重复的包,并指定在<dup window>个包内进行比对<dup window>的范围为0-1000000。
-w <dup time window> 删除重复的包,并指定时间在<dup time window>之前的数据包才做重复删除操作。
处理类
-s <snaplen> 将数据包截断成长度为<snaplen>的数据包。
-C <choplen> 将包尾的<choplen>个字节砍掉。
-t <time adjustment> 调整包的时间戳;<time adjustment> 即可以为正数,也可以为负数。
-E <error probability> 按照<error probability>的比例随机制造错包,例如<error probability>为0.05,则包文件中5%的包会随机被配置为各种错包。
输出类
-c <packets per file> 按包个数分割包文件,如<packets per file>为1000,则将原始包文件分割成多个文件,每个文件的包个数为1000,当然最后一个文件的包数可以小于等于1000.
-i <seconds per file> 按时间分割包文件,如<seconds per file>为10,则每个被分割的文件中的包时间戳均在10s内,且每个包的时间戳又会从0开始.
-F <capture type> 设置输出文件的格式,默认为pcapng。
-T <encap type> 设置输出文件中包封装的类型,默认和原始包封装类型一致。
使用示例
1.将数据包截断为64字节长度,且转换为snoop的格式:
editcap -s 64 -F snoop capture.pcap shortcapture.snoop
2.删除原始文件中的第1000个数据包:
editcap capture.pcap sans1000.pcap 1000
3.提取原始文件中的第200到750个包:
editcap -r capture.pcap small.pcap 200-750
4.提取原始文件中的第 1, 5, 10 to 20 and 30 to 40个包:
editcap -r capture.pcap select.pcap 1 5 10-20 30-40
5.删除与前面4个包中有重复的包:
editcap -d capture.pcap dedup.pcap
6.删除与前面100个包中有重复的包:
editcap -D 101 capture.pcap dedup.pcap
7.是原始文件中5%的包随机变为错包:
editcap -E 0.05 capture.pcap capture_error.pcap
capinfos
- 查看pcap的信息
capinfos -AM test.pcap