抓包指令tcpdump和包处理editcap指令 使用

editcap 的使用

  • 按照时间范围进行截取包

    • editcap -A 'YYYY-MM-DD hh:mm:ss' -B 'YYYY-MM-DD hh:mm:ss' infile outfile 从infile文件中选取从A-B时间范围内的包 输出到outfile中
    • editcap -A 'YYYY-MM-DD hh:mm:ss' infile outfile 从infile文件中选取A时间点之后的数据,输出到outfile中
    • editcap -B 'YYYY-MM-DD hh:mm:ss' infile outfile 从infile文件中选取B时间点之前的数据,输出到outfile中

  • 去重 匹配重复方式,遍历文件中的报文,将遍历当前的包的md5哈希值与前4个报文比较(window==5),如果找到则删除当前报文。 -D 10 将比较的window调整为10,将与前10个报文进行比较。

    • editcap -d infile outfile (默认window=5)
    • editcap -d -D (0-1000000) infile outfile

  • 设置输出文件的方式

    • -c 多少个数据包保存一个文件
      • editcap -c 10 infile outfile 每10个数据包分一个文件
    • -i 每几秒数据保存一个文件
      • editcap -i 2 infile outfile 每2秒的数据包保存一个文件

  • 数据包编辑操作

    • editcap -t ts infile outfile 对infile数据中每个包往前调整ts秒, ts为相对时间(-1,往后调整)
    • editcap -s snaplen infile outfile 对于超过snaplen字节的数据包进行截断
    • +---+-------+-----------+---------------+-------------------+
      | 5 | 10 | 15 | 20 | 25 |
      +---+-------+-----------+---------------+-------------------+
    • editcap -C 5:10 -C -25:-20 infile outfile 删除10和20区域字节

tcpdump 的使用

  • tcpdump -i eth3 tcp port 5236 and host 172.16.24.13 -w dm.pcap
    • -i 指定网卡
    • port 指定抓取的端口号
    • host 指定ip地址
    • -w dm.pcap 抓取到dm.cap文件中
  • tcpdump -i eth1 -nnn udp port 21001
    • -i 指定网卡
    • -nnn 指定通信协议
    • port 指定端口号
posted @   橙皮^-^  阅读(302)  评论(0编辑  收藏  举报
相关博文:
·  gdb 断点调试
·  设置观察点
·  tcpdump抓包指令
·  tcpdump抓包命令
·  tcpdump抓包指令
阅读排行:
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 如何调用 DeepSeek 的自然语言处理 API 接口并集成到在线客服系统
· 【译】Visual Studio 中新的强大生产力特性
· 2025年我用 Compose 写了一个 Todo App
点击右上角即可分享
微信分享提示
SQL AI 助手