Я пытаюсь объединить несколько файлов pcap для последующей обработки после захвата, однако мне нужно сохранить информацию об исходном файле каждого пакета (имя файла содержит информацию об источнике сетевого ответвления). Эта информация недоступна нигде в самих пакетах. Моя идея состоит в том, чтобы использовать удобство pcapng, которое позволяет добавлять комментарий кадра (frame.comment) к пакету, и это можно сделать программно с помощью editcap. Я мог бы использовать это, чтобы добавить информацию из имени файла к каждому пакету, который будет перенесен в объединенный файл. Однако кажется, что editcap позволяет добавлять комментарии только к определенным кадрам editcap -a <framenumber>:<comment>, но не к диапазону кадров. Делать это вручную нецелесообразно, так как я имею дело с большим количеством больших файлов pcap. Идеи?
Как добавить комментарий ко всем пакетам в многочисленных файлах pcap перед объединением в один файл
Ответы (1)
Это позволит рекурсивно сохранить имя файла в качестве комментария к каждому пакету в каждом pcap. Если вам нужно сделать это только с одним файлом, удалите внешний цикл for.
for f in $(find *.pcap); do
num_frames=$(capinfos -rcT "$f" | awk '{ print $NF }')
for i in $(seq 1 $num_frames); do
editcap "$f" "$f" -a "$i:$f"
done
done
find *.pcapрекурсивно найдет все файлы типа pcap в этом каталогеcapinfos— это CLI-инструмент wireshark, похожий на wireshark, который предоставляет информацию о захватах.
Обратите внимание, что вместо этого вы можете динамически включать какой-либо другой комментарий, например временную метку.
person
Ross Jacobs
schedule
19.06.2020
классно. Я попробую это. Большое спасибо. Я не знал, что вы можете повторно сохранить файл с тем же именем с помощью editcap, поэтому я узнал еще кое-что. Я также посмотрю в capinfos, чтобы увидеть, что еще я могу вытащить. Еще раз спасибо.
- person Greysquall; 20.06.2020
Вы можете проверить tshark.dev, если вы изучаете, как использовать инструменты в этой области.
- person Ross Jacobs; 20.06.2020
