wireshark是一个网络数据包的分析工具,主要用来捕获网卡上的数据包并显示数据包的详细内容。在处理一些大的数据包文件时,如果直接用wireshark图形工具打开一些大文件的数据包会出现响应慢甚至没有响应的情况,所以可以用wireshark带的一些命令集工具程序来处理数据包文件,本章着重讲数据包文件的分割。

1、打开dos命令行,通过capinfos <filename>命令查看数据包文件的基本信息,包括文件的大小、报文数量等:(如果无法执行命令则需要在环境变量中添加wireshark程序集的安装路径)

PS E:\capture> capinfos .\1000kb.pcap

File name:           .\1000kb.pcap

File type:           Wireshark/... - pcapng

File encapsulation:  Ethernet

File timestamp precision:  microseconds (6)

Packet size limit:   file hdr: (not set)

Number of packets:   9238

File size:           4627 kB

Data size:           4321 kB

Capture duration:    305.585406 seconds

First packet time:   2017-09-27 16:23:07.550690

Last packet time:    2017-09-27 16:28:13.136096

Data byte rate:      14 kBps

Data bit rate:       113 kbps

Average packet size: 467.76 bytes

Average packet rate: 30 packets/s

SHA1:                31280cb3fd0c1e70f8a9fc9a14ce45b4f52b51a8

RIPEMD160:           f4ee9d62113b55ceee6a394228d31910be745dc0

MD5:                 18b9363419eb9db0afd6b8a4145a57c7

Strict time order:   True
//这一部分信息是捕获这个数据包的系统和网卡信息,不是每一个文件都会包含这一部分信息的

Capture hardware:    Intel(R) Core(TM) i5-5200U CPU @ 2.20GHz (with SSE4.2)

Capture oper-sys:    64-bit Windows 10, build 14393

Capture application: Dumpcap (Wireshark) 2.4.1 (v2.4.1-0-gf42a0d2b6c)

Number of interfaces in file: 1

Interface #0 info:

                     Name = \Device\NPF_{2B766845-80BC-4981-948B-8B8B27FF5AE1}

                     Encapsulation = Ethernet (1 - ether)

                     Capture length = 65535

                     Time precision = microseconds (6)

                     Time ticks per second = 1000000

                     Time resolution = 0x06

                     Operating system = 64-bit Windows 10, build 14393

                     Number of stat entries = 1

                     Number of packets = 9238

2、按指定报文数量进行分割:editcap –c <count> <input_filename> <output_filename>,例如以每个文件2000个数据包分割一个8k+数据包文件:

PS E:\capture> capinfos .\internet.pcap

File name:           .\internet.pcap

File type:           Wireshark/tcpdump/... - pcap

File encapsulation:  Ethernet

File timestamp precision:  microseconds (6)

Packet size limit:   file hdr: 262144 bytes

Number of packets:   8868

File size:           6314 kB

Data size:           6172 kB

Capture duration:    29.186309 seconds

First packet time:   2017-01-04 20:58:09.045419

Last packet time:    2017-01-04 20:58:38.231728

Data byte rate:      211 kBps

Data bit rate:       1691 kbps

Average packet size: 696.04 bytes

Average packet rate: 303 packets/s

SHA1:                308106d42663b6daea5f078779e112e2457975b4

RIPEMD160:           13b91a516eb825dbdceb5d291fea5343a5fb6629

MD5:                 5320ddbbef7a7f25d8b17a964dbfb40d

Strict time order:   True

Number of interfaces in file: 1

Interface #0 info:

                     Encapsulation = Ethernet (1 - ether)

                     Capture length = 262144

                     Time precision = microseconds (6)

                     Time ticks per second = 1000000

                     Number of stat entries = 0

                     Number of packets = 8868

PS E:\capture>

PS E:\capture> editcap -c 2000 .\internet.pcap internet_2000.pcap

PS E:\capture>

PS E:\capture> ls

    目录: E:\capture

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        2017/9/27     16:28        4627932 1000kb.pcap

-a----         2017/1/4     20:21             94 doff.pcap

-a----        2017/9/27     16:30           2596 httphostaddrs.txt

-a----         2017/1/4     20:58        6314391 internet.pcap

-a----        2017/9/28     14:55        1596712 internet_2000_00000_20170104205809.pcap

-a----        2017/9/28     14:55        1719644 internet_2000_00001_20170104205813.pcap

-a----        2017/9/28     14:55        1736972 internet_2000_00002_20170104205813.pcap

-a----        2017/9/28     14:55        1153596 internet_2000_00003_20170104205814.pcap

-a----        2017/9/28     14:55         265720 internet_2000_00004_20170104205828.pcap

-a----        2017/1/10     10:24          43825 ipv6.pcap

-a----        2017/1/10     10:24            262 ipv61.pcap

-a----        2017/1/10     10:25            254 ipv62.pcap

-a----        2017/1/10     13:47            154 ipv6_tester1.pcap

-a----        2017/1/12     11:44            100 vlan1002.pcap

-a----        2017/3/17     18:11        1121384 webauth.pcapng

PS E:\capture>

PS E:\capture> start .\internet_2000_00000_20170104205809.pcap

分割文件命名:会以序号加上每个文件的报文起始时间为命名,可以打开分割后的文件查看:

在文件>文件集合>列出文件 可以快速切换到其他分割的文件:

3、按指定时间间隔进行分割:editcap –i <time> <input_filename> <output_filename>,例如以每个文件包含10s数据包分割数据包文件:

PS E:\capture> editcap -i 10 .\internet.pcap internet_10s.pcap

PS E:\capture>

PS E:\capture> ls

    目录: E:\capture

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        2017/9/27     16:28        4627932 1000kb.pcap

-a----         2017/1/4     20:21             94 doff.pcap

-a----        2017/9/27     16:30           2596 httphostaddrs.txt

-a----         2017/1/4     20:58        6314391 internet.pcap

-a----        2017/9/28     15:16        6041588 internet_10s_00000_20170104205809.pcap

-a----        2017/9/28     15:16         180956 internet_10s_00001_20170104205819.pcap

-a----        2017/9/28     15:16         249956 internet_10s_00002_20170104205829.pcap

-a----        2017/1/10     10:24          43825 ipv6.pcap

-a----        2017/1/10     10:24            262 ipv61.pcap

-a----        2017/1/10     10:25            254 ipv62.pcap

-a----        2017/1/10     13:47            154 ipv6_tester1.pcap

-a----        2017/1/12     11:44            100 vlan1002.pcap

-a----        2017/3/17     18:11        1121384 webauth.pcapng

PS E:\capture> start .\internet_10s_00000_20170104205809.pcap

PS E:\capture>

  

如何使用capedit分割数据包文件的更多相关文章

  1. TCP/IP协议数据包文件PCAP分析器

    一.设计原理 1.PCAP文件构成 参考http://blog.csdn.net/gulu_gulu_jp/article/details/50494909 PCAP文件由一个PCAP文件头和多个PC ...

  2. Wireshark wireshake数据包分割及捕包过滤器介绍

    wireshake数据包分割及捕包过滤器介绍 by:授客 QQ:1033553122 wireshake自带工具editcap分割数据包 操作: 进入到目录,然后 editcap.exe -c < ...

  3. python3+pyshark读取wireshark数据包并追踪telnet数据流

    一.程序说明 本程序有两个要点,第一个要点是读取wireshark数据包(当然也可以从网卡直接捕获改个函数就行),这个使用pyshark实现.pyshark是tshark的一个python封装,至于t ...

  4. Python3+pyshark捕获数据包并保存为文件

    一.直接使用wireshark捕获数据包并保存为文件 可以使用wireshark通过图形界面的操作来实现捕获数据包并保存为文件. wireshark默认捕获的数据包保存为临时文件,如果最后退出时不选择 ...

  5. 【VS开发】使用WinPcap编程(4)——把网络数据包存储到一个文件中

    这里用到的数据结构是pcap_dumper_t,这也是一个相当于文件描述符的东西,我们在用的时候先指定pcap_dumper_t *dumpfp; 使用两个函数来存储网络数据,一个是pcap_dump ...

  6. python解析pcap文件中的http数据包

    使用scapy.scapy_http就可以方便的对pcap包中的http数据包进行解析 scapy_http可以在https://github.com/invernizzi/scapy-http下载, ...

  7. 深入理解USB流量数据包的抓取与分析

    0x01 问题提出 在一次演练中,我们通过wireshark抓取了一个如下的数据包,我们如何对其进行分析? 0x02 问题分析 流量包是如何捕获的? 首先我们从上面的数据包分析可以知道,这是个USB的 ...

  8. 下载nltk数据包报错

    安装nltk需要两步:安装nltk和安装nltk_data数据包 安装nltk 安装nltk很简单,可以直接在pycharm环境中安装,flie -> settings-> Python ...

  9. 【lwip】04-网络数据包流向

    目录 前言 4.1 TCPIP分层与lwip数据共享 4.2 协议栈线程模型 4.3 pbuf 结构体 4.3.1 pbuf的标志位flags 4.4 pbuf的类型 4.4.1 PBUF_RAM类型 ...

随机推荐

  1. 「LuoguP1281」 书的复制(贪心

    Description 大多数人的错误原因:尽可能让前面的人少抄写,如果前几个人可以不写则不写,对应的人输出0 0. 不过,已经修改数据,保证每个人都有活可干. // 现在要把m本有顺序的书分给k给人 ...

  2. SVN进行代码的托管

    svn 使用的是集中服务器 就是只有一个服务器的意思 git 是分布式服务器  服务器: 存储客户端上传的源代码. 可以在Windows上通过安装 Visual SVN Sever .  客户端: 上 ...

  3. 【213】IDL函数汇总

    名称 功能说明 类型  语法&举例 IDL_VALIDNAME 判断变量名是否有效,无效返回值为空或者自动修改 函数   DEFSYSV 自定义系统变量,全局变量 过程   MAKE_ARRA ...

  4. Hibernate 4.3.7 可编程方式+注解

    1.复制jar文件到lib antlr-2.7.7.jardbmysql.jardboracle.jardbsqljdbc2005.jardom4j-1.6.1.jarhibernate-common ...

  5. 关于 GraPhlAn 的孤独自学

    最近需要用 GraPhlan 来绘制 taxo分类图,稍微研究了一下 一.简介 官网: http://huttenhower.sph.harvard.edu/GraPhlAn 主要有两个脚本: gra ...

  6. hdoj5832【模拟】

    主要还是一个10001的倍数的问题: 队友的思路: 01 1个数*10001,最后四位是这个数的后四位 比如 521456 10001 521456 521456 9 5215081456 从后面fo ...

  7. hdoj5813【构造】

    2016 Multi-University Training Contest 7 05 真的真的好菜哇... 思路: 暴力. 我对那些到达目的地少的点做硬性规定就是去比他要到达目的地更少的点,这样一来 ...

  8. 如何修改hosts文件并生效

    hosts文件位置C:\Windows\System32\drivers\etc(可以建立一个.bat 的文件把(start "" C:\Windows\System32\driv ...

  9. Flexbox布局的基本概念

    flex container(flex容器 或 弹性容器) flex容器是flex元素的的父元素. 通过设置display 属性的值为flex 或 inline-flex定义. 注旧版本的属性值: b ...

  10. linux添加开机启动脚本

    [root@mysql ~]# ll /etc/rc.local lrwxrwxrwx. 1 root root 13 Mar 12 22:20 /etc/rc.local -> rc.d/rc ...