wireshark是一个网络数据包的分析工具,主要用来捕获网卡上的数据包并显示数据包的详细内容。在处理一些大的数据包文件时,如果直接用wireshark图形工具打开一些大文件的数据包会出现响应慢甚至没有响应的情况,所以可以用wireshark带的一些命令集工具程序来处理数据包文件,本章着重讲数据包文件的分割。

1、打开dos命令行,通过capinfos <filename>命令查看数据包文件的基本信息,包括文件的大小、报文数量等:(如果无法执行命令则需要在环境变量中添加wireshark程序集的安装路径)

PS E:\capture> capinfos .\1000kb.pcap

File name:           .\1000kb.pcap

File type:           Wireshark/... - pcapng

File encapsulation:  Ethernet

File timestamp precision:  microseconds (6)

Packet size limit:   file hdr: (not set)

Number of packets:   9238

File size:           4627 kB

Data size:           4321 kB

Capture duration:    305.585406 seconds

First packet time:   2017-09-27 16:23:07.550690

Last packet time:    2017-09-27 16:28:13.136096

Data byte rate:      14 kBps

Data bit rate:       113 kbps

Average packet size: 467.76 bytes

Average packet rate: 30 packets/s

SHA1:                31280cb3fd0c1e70f8a9fc9a14ce45b4f52b51a8

RIPEMD160:           f4ee9d62113b55ceee6a394228d31910be745dc0

MD5:                 18b9363419eb9db0afd6b8a4145a57c7

Strict time order:   True
//这一部分信息是捕获这个数据包的系统和网卡信息,不是每一个文件都会包含这一部分信息的

Capture hardware:    Intel(R) Core(TM) i5-5200U CPU @ 2.20GHz (with SSE4.2)

Capture oper-sys:    64-bit Windows 10, build 14393

Capture application: Dumpcap (Wireshark) 2.4.1 (v2.4.1-0-gf42a0d2b6c)

Number of interfaces in file: 1

Interface #0 info:

                     Name = \Device\NPF_{2B766845-80BC-4981-948B-8B8B27FF5AE1}

                     Encapsulation = Ethernet (1 - ether)

                     Capture length = 65535

                     Time precision = microseconds (6)

                     Time ticks per second = 1000000

                     Time resolution = 0x06

                     Operating system = 64-bit Windows 10, build 14393

                     Number of stat entries = 1

                     Number of packets = 9238

2、按指定报文数量进行分割:editcap –c <count> <input_filename> <output_filename>,例如以每个文件2000个数据包分割一个8k+数据包文件:

PS E:\capture> capinfos .\internet.pcap

File name:           .\internet.pcap

File type:           Wireshark/tcpdump/... - pcap

File encapsulation:  Ethernet

File timestamp precision:  microseconds (6)

Packet size limit:   file hdr: 262144 bytes

Number of packets:   8868

File size:           6314 kB

Data size:           6172 kB

Capture duration:    29.186309 seconds

First packet time:   2017-01-04 20:58:09.045419

Last packet time:    2017-01-04 20:58:38.231728

Data byte rate:      211 kBps

Data bit rate:       1691 kbps

Average packet size: 696.04 bytes

Average packet rate: 303 packets/s

SHA1:                308106d42663b6daea5f078779e112e2457975b4

RIPEMD160:           13b91a516eb825dbdceb5d291fea5343a5fb6629

MD5:                 5320ddbbef7a7f25d8b17a964dbfb40d

Strict time order:   True

Number of interfaces in file: 1

Interface #0 info:

                     Encapsulation = Ethernet (1 - ether)

                     Capture length = 262144

                     Time precision = microseconds (6)

                     Time ticks per second = 1000000

                     Number of stat entries = 0

                     Number of packets = 8868

PS E:\capture>

PS E:\capture> editcap -c 2000 .\internet.pcap internet_2000.pcap

PS E:\capture>

PS E:\capture> ls

    目录: E:\capture

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        2017/9/27     16:28        4627932 1000kb.pcap

-a----         2017/1/4     20:21             94 doff.pcap

-a----        2017/9/27     16:30           2596 httphostaddrs.txt

-a----         2017/1/4     20:58        6314391 internet.pcap

-a----        2017/9/28     14:55        1596712 internet_2000_00000_20170104205809.pcap

-a----        2017/9/28     14:55        1719644 internet_2000_00001_20170104205813.pcap

-a----        2017/9/28     14:55        1736972 internet_2000_00002_20170104205813.pcap

-a----        2017/9/28     14:55        1153596 internet_2000_00003_20170104205814.pcap

-a----        2017/9/28     14:55         265720 internet_2000_00004_20170104205828.pcap

-a----        2017/1/10     10:24          43825 ipv6.pcap

-a----        2017/1/10     10:24            262 ipv61.pcap

-a----        2017/1/10     10:25            254 ipv62.pcap

-a----        2017/1/10     13:47            154 ipv6_tester1.pcap

-a----        2017/1/12     11:44            100 vlan1002.pcap

-a----        2017/3/17     18:11        1121384 webauth.pcapng

PS E:\capture>

PS E:\capture> start .\internet_2000_00000_20170104205809.pcap

分割文件命名:会以序号加上每个文件的报文起始时间为命名,可以打开分割后的文件查看:

在文件>文件集合>列出文件 可以快速切换到其他分割的文件:

3、按指定时间间隔进行分割:editcap –i <time> <input_filename> <output_filename>,例如以每个文件包含10s数据包分割数据包文件:

PS E:\capture> editcap -i 10 .\internet.pcap internet_10s.pcap

PS E:\capture>

PS E:\capture> ls

    目录: E:\capture

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        2017/9/27     16:28        4627932 1000kb.pcap

-a----         2017/1/4     20:21             94 doff.pcap

-a----        2017/9/27     16:30           2596 httphostaddrs.txt

-a----         2017/1/4     20:58        6314391 internet.pcap

-a----        2017/9/28     15:16        6041588 internet_10s_00000_20170104205809.pcap

-a----        2017/9/28     15:16         180956 internet_10s_00001_20170104205819.pcap

-a----        2017/9/28     15:16         249956 internet_10s_00002_20170104205829.pcap

-a----        2017/1/10     10:24          43825 ipv6.pcap

-a----        2017/1/10     10:24            262 ipv61.pcap

-a----        2017/1/10     10:25            254 ipv62.pcap

-a----        2017/1/10     13:47            154 ipv6_tester1.pcap

-a----        2017/1/12     11:44            100 vlan1002.pcap

-a----        2017/3/17     18:11        1121384 webauth.pcapng

PS E:\capture> start .\internet_10s_00000_20170104205809.pcap

PS E:\capture>

  

如何使用capedit分割数据包文件的更多相关文章

  1. TCP/IP协议数据包文件PCAP分析器

    一.设计原理 1.PCAP文件构成 参考http://blog.csdn.net/gulu_gulu_jp/article/details/50494909 PCAP文件由一个PCAP文件头和多个PC ...

  2. Wireshark wireshake数据包分割及捕包过滤器介绍

    wireshake数据包分割及捕包过滤器介绍 by:授客 QQ:1033553122 wireshake自带工具editcap分割数据包 操作: 进入到目录,然后 editcap.exe -c < ...

  3. python3+pyshark读取wireshark数据包并追踪telnet数据流

    一.程序说明 本程序有两个要点,第一个要点是读取wireshark数据包(当然也可以从网卡直接捕获改个函数就行),这个使用pyshark实现.pyshark是tshark的一个python封装,至于t ...

  4. Python3+pyshark捕获数据包并保存为文件

    一.直接使用wireshark捕获数据包并保存为文件 可以使用wireshark通过图形界面的操作来实现捕获数据包并保存为文件. wireshark默认捕获的数据包保存为临时文件,如果最后退出时不选择 ...

  5. 【VS开发】使用WinPcap编程(4)——把网络数据包存储到一个文件中

    这里用到的数据结构是pcap_dumper_t,这也是一个相当于文件描述符的东西,我们在用的时候先指定pcap_dumper_t *dumpfp; 使用两个函数来存储网络数据,一个是pcap_dump ...

  6. python解析pcap文件中的http数据包

    使用scapy.scapy_http就可以方便的对pcap包中的http数据包进行解析 scapy_http可以在https://github.com/invernizzi/scapy-http下载, ...

  7. 深入理解USB流量数据包的抓取与分析

    0x01 问题提出 在一次演练中,我们通过wireshark抓取了一个如下的数据包,我们如何对其进行分析? 0x02 问题分析 流量包是如何捕获的? 首先我们从上面的数据包分析可以知道,这是个USB的 ...

  8. 下载nltk数据包报错

    安装nltk需要两步:安装nltk和安装nltk_data数据包 安装nltk 安装nltk很简单,可以直接在pycharm环境中安装,flie -> settings-> Python ...

  9. 【lwip】04-网络数据包流向

    目录 前言 4.1 TCPIP分层与lwip数据共享 4.2 协议栈线程模型 4.3 pbuf 结构体 4.3.1 pbuf的标志位flags 4.4 pbuf的类型 4.4.1 PBUF_RAM类型 ...

随机推荐

  1. oracle重命名数据文件

    重命名数据文件   方法1: sql>alter tablespace users offline; sql>host cp /u01/app/oracle/oradata/orcl/us ...

  2. apache 安装及配置

    近期想用apache运行网站,在网上查询windows 版本的中文说明文档有特别少,所以将学习到的在这里做个笔记,以便日后学习以及大家相互交流. 相关文档:http://httpd.apache.or ...

  3. 【SOUTH CENTRAL USA 1998】 eight

    [题目链接] 点击打开链接 [算法] 这是经典的八数码问题,据说此题不做人生不完整 这里笔者用的是双向广搜,由于细节较多,笔者花了3h才通过此题 [代码] #include <algorithm ...

  4. B. Vanya and Books

    time limit per test 1 second memory limit per test 256 megabytes input standard input output standar ...

  5. Ruby 全局变量,实例变量,类变量

    class Computer $manufacturer = "Mango Computer, Inc." # “$" 是全局变量关键字 @@num_of_instanc ...

  6. 20170412-sl

    force n实力,武力 v强迫 ---------------20170413-sl----------------------- discard   n/v 放弃 fetch n/v 拿,取 pu ...

  7. hdoj3790 【最短路】

    这一题啊,其实还是很简单的~(A掉了就很简单啊~) 思路: 松弛,然后在里面维护一个小最短路~: A掉这一题,感觉松弛的理解又上了一个台阶,以及spfa的原理,最短路用到的原理就是松弛,先把图构造到最 ...

  8. bzoj 2440: [中山市选2011]完全平方数【莫比乌斯函数+二分】

    二分答案,然后用莫比乌斯函数作为容斥系数,计算当前枚举的mid内有几个满足要求的数 #include<iostream> #include<cstdio> #include&l ...

  9. rabbitMQ的使用

    介绍 一款消息队列数据库,类似redis发布订阅,但是rq 做了功能完善和数据持久化.在项目中,将一些无需即时返回且耗时的操作提取出来,进行了异步处理,而这种异步处理的方式大大的节省了服务器的请求响应 ...

  10. 基于 React-draft-wysiwyg 实现的 react 富文本编辑器组件 开箱即用

    工作中遇到了一个需要做图文详情 的富文本编辑的需求, 于是基于 React-draft-wysiwyg 实现了一个 纯组件, 目前支持 常规文本输入 外部链接图片 以及本地上传图片, 由于是纯组件, ...