問題タブ [editcap]

パケットを検査するスクリプトを作成していますが、ヘッダーが頭痛の種です。自宅に DSL 接続/ワイヤレスがあり、データ リンク層が Wireshark キャプチャに表示されます。現在使用しているものに応じて、PPP または WLAN のいずれかです。

thsark、editcap、tcpdump、またはその他のチュートリアルを探していましたが、見つかりませんでした。

基本的に必要なものは次のとおりです。

bittwiste という名前のプログラムを見つけましたが、気付いたように固定サイズで動作していますが、使用されているリンク タイプ + サイズを決定する必要がない「ユニバーサル」なものが必要です。

どんな助けでも大歓迎です！

前もって感謝します。

私は 1 つの大きな pcap ファイルを持っており、私の目的は、トレースの特定のタイムスタンプ期間のみを抽出することです (たとえば、データセットの時間は 0 から 200 で始まりますが、50 から 100 秒の間だけが必要です)。

editcapツールを使用して、このコマンドを使用しようとしました

私のデータセット時間フィールドはこの形式を示しているためです。問題は、エラーが発生することです

たとえば、wiresharkのWebサイトによると、他の方法で試してみましたが、形式は次のようになり、同じエラーで終了します。

ネットで議論されている解決策のいくつかは、見積もりを使用することですが、エラーが発生することもあります

問題は、上記の目的を達成するために editcap ツールを使用するための実際の形式は何かということです。

pcap ファイル内の最初の 100 パケットをフィルタリングし、結果を stdout に表示します。最初の 100 パケットをフィルタリングするために、以下のコマンドを使用しました。

結果を表示し、さらに目的のためにパケットをフィルタリングするために、tcpdump を使用したいと考えています。

次のように、editcap の出力を tcpdump にリダイレクトしたい:

しかし、このコマンドでは最初の 100 パケットをフィルタリングできませんでした。そうすることは可能ですか?? そうでない場合は、editcap の出力を RAM にリダイレクトしてから、tcpdump を RAM から読み取ることができますか??

ありがとうございます。

PS ちなみに、このコマンドはファイル内のすべてのパケットを読み取るため、以下のコマンドは使用したくありません。コマンドが pcap ファイル内のいくつかのパケットを読み取り、ジョブが終了したことを示す必要があります。

私は Wireshark の初心者で、使用に問題がありました。Wireshark wiki を検索しましたが、有望な結果はないようです。うまくいけば、ここで助けを得ることができます。

LG スマート ウォッチと Android フォンの間のネットワーク トラフィックを分析しようとしていますが、これらはすべて Bluetooth チャネルを通過します。これで、ネットワーク トラフィック ログ ファイルを取得できたので、実行して表示できますwireshark <log_file_name>。問題は、データを抽出して取得する方法、または単に Bluetooth ヘッダーを削除してoriginal network layer packet.

私がしたこと -

1. Web トラフィックの Wireshark キャプチャを取得しました。
2. キャプチャ ファイルを編集して、1 つの GET 要求を削除しました。（editcapを使用してその行を削除しました）
3. 編集したファイルを保存しました (手順 2 から)
4. このファイルの tcpreplay を実行しました。

これを行うと、次のエラーが表示されます: Fatal Error: Error Opening pcap file: bad dump file format.

何が間違っている可能性がありますか？私は自分のwireshark pcapファイルを編集した方法で何か間違ったことをしていますか?

ありがとう、アンディ

大きな pcap ファイルがあり、最初の 10 分間のトラフィックのみを含む新しい pcap を生成したいと考えています。でこれを行うことはできますtcpdumpか? オンラインで言及されているのを見ましたが、可能であればeditcap使用したいと思います。tcpdump