wireshark是一个网络数据包的分析工具,主要用来捕获网卡上的数据包并显示数据包的详细内容。在处理一些大的数据包文件时,如果直接用wireshark图形工具打开一些大文件的数据包会出现响应慢甚至没有响应的情况,所以可以用wireshark带的一些命令集工具程序来处理数据包文件,本章着重讲数据包文件的分割。

1、打开dos命令行,通过capinfos <filename>命令查看数据包文件的基本信息,包括文件的大小、报文数量等:(如果无法执行命令则需要在环境变量中添加wireshark程序集的安装路径)

PS E:\capture> capinfos .\1000kb.pcap

File name:           .\1000kb.pcap

File type:           Wireshark/... - pcapng

File encapsulation:  Ethernet

File timestamp precision:  microseconds (6)

Packet size limit:   file hdr: (not set)

Number of packets:   9238

File size:           4627 kB

Data size:           4321 kB

Capture duration:    305.585406 seconds

First packet time:   2017-09-27 16:23:07.550690

Last packet time:    2017-09-27 16:28:13.136096

Data byte rate:      14 kBps

Data bit rate:       113 kbps

Average packet size: 467.76 bytes

Average packet rate: 30 packets/s

SHA1:                31280cb3fd0c1e70f8a9fc9a14ce45b4f52b51a8

RIPEMD160:           f4ee9d62113b55ceee6a394228d31910be745dc0

MD5:                 18b9363419eb9db0afd6b8a4145a57c7

Strict time order:   True
//这一部分信息是捕获这个数据包的系统和网卡信息,不是每一个文件都会包含这一部分信息的

Capture hardware:    Intel(R) Core(TM) i5-5200U CPU @ 2.20GHz (with SSE4.2)

Capture oper-sys:    64-bit Windows 10, build 14393

Capture application: Dumpcap (Wireshark) 2.4.1 (v2.4.1-0-gf42a0d2b6c)

Number of interfaces in file: 1

Interface #0 info:

                     Name = \Device\NPF_{2B766845-80BC-4981-948B-8B8B27FF5AE1}

                     Encapsulation = Ethernet (1 - ether)

                     Capture length = 65535

                     Time precision = microseconds (6)

                     Time ticks per second = 1000000

                     Time resolution = 0x06

                     Operating system = 64-bit Windows 10, build 14393

                     Number of stat entries = 1

                     Number of packets = 9238

2、按指定报文数量进行分割:editcap –c <count> <input_filename> <output_filename>,例如以每个文件2000个数据包分割一个8k+数据包文件:

PS E:\capture> capinfos .\internet.pcap

File name:           .\internet.pcap

File type:           Wireshark/tcpdump/... - pcap

File encapsulation:  Ethernet

File timestamp precision:  microseconds (6)

Packet size limit:   file hdr: 262144 bytes

Number of packets:   8868

File size:           6314 kB

Data size:           6172 kB

Capture duration:    29.186309 seconds

First packet time:   2017-01-04 20:58:09.045419

Last packet time:    2017-01-04 20:58:38.231728

Data byte rate:      211 kBps

Data bit rate:       1691 kbps

Average packet size: 696.04 bytes

Average packet rate: 303 packets/s

SHA1:                308106d42663b6daea5f078779e112e2457975b4

RIPEMD160:           13b91a516eb825dbdceb5d291fea5343a5fb6629

MD5:                 5320ddbbef7a7f25d8b17a964dbfb40d

Strict time order:   True

Number of interfaces in file: 1

Interface #0 info:

                     Encapsulation = Ethernet (1 - ether)

                     Capture length = 262144

                     Time precision = microseconds (6)

                     Time ticks per second = 1000000

                     Number of stat entries = 0

                     Number of packets = 8868

PS E:\capture>

PS E:\capture> editcap -c 2000 .\internet.pcap internet_2000.pcap

PS E:\capture>

PS E:\capture> ls

    目录: E:\capture

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        2017/9/27     16:28        4627932 1000kb.pcap

-a----         2017/1/4     20:21             94 doff.pcap

-a----        2017/9/27     16:30           2596 httphostaddrs.txt

-a----         2017/1/4     20:58        6314391 internet.pcap

-a----        2017/9/28     14:55        1596712 internet_2000_00000_20170104205809.pcap

-a----        2017/9/28     14:55        1719644 internet_2000_00001_20170104205813.pcap

-a----        2017/9/28     14:55        1736972 internet_2000_00002_20170104205813.pcap

-a----        2017/9/28     14:55        1153596 internet_2000_00003_20170104205814.pcap

-a----        2017/9/28     14:55         265720 internet_2000_00004_20170104205828.pcap

-a----        2017/1/10     10:24          43825 ipv6.pcap

-a----        2017/1/10     10:24            262 ipv61.pcap

-a----        2017/1/10     10:25            254 ipv62.pcap

-a----        2017/1/10     13:47            154 ipv6_tester1.pcap

-a----        2017/1/12     11:44            100 vlan1002.pcap

-a----        2017/3/17     18:11        1121384 webauth.pcapng

PS E:\capture>

PS E:\capture> start .\internet_2000_00000_20170104205809.pcap

分割文件命名:会以序号加上每个文件的报文起始时间为命名,可以打开分割后的文件查看:

在文件>文件集合>列出文件 可以快速切换到其他分割的文件:

3、按指定时间间隔进行分割:editcap –i <time> <input_filename> <output_filename>,例如以每个文件包含10s数据包分割数据包文件:

PS E:\capture> editcap -i 10 .\internet.pcap internet_10s.pcap

PS E:\capture>

PS E:\capture> ls

    目录: E:\capture

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        2017/9/27     16:28        4627932 1000kb.pcap

-a----         2017/1/4     20:21             94 doff.pcap

-a----        2017/9/27     16:30           2596 httphostaddrs.txt

-a----         2017/1/4     20:58        6314391 internet.pcap

-a----        2017/9/28     15:16        6041588 internet_10s_00000_20170104205809.pcap

-a----        2017/9/28     15:16         180956 internet_10s_00001_20170104205819.pcap

-a----        2017/9/28     15:16         249956 internet_10s_00002_20170104205829.pcap

-a----        2017/1/10     10:24          43825 ipv6.pcap

-a----        2017/1/10     10:24            262 ipv61.pcap

-a----        2017/1/10     10:25            254 ipv62.pcap

-a----        2017/1/10     13:47            154 ipv6_tester1.pcap

-a----        2017/1/12     11:44            100 vlan1002.pcap

-a----        2017/3/17     18:11        1121384 webauth.pcapng

PS E:\capture> start .\internet_10s_00000_20170104205809.pcap

PS E:\capture>

  

如何使用capedit分割数据包文件的更多相关文章

  1. TCP/IP协议数据包文件PCAP分析器

    一.设计原理 1.PCAP文件构成 参考http://blog.csdn.net/gulu_gulu_jp/article/details/50494909 PCAP文件由一个PCAP文件头和多个PC ...

  2. Wireshark wireshake数据包分割及捕包过滤器介绍

    wireshake数据包分割及捕包过滤器介绍 by:授客 QQ:1033553122 wireshake自带工具editcap分割数据包 操作: 进入到目录,然后 editcap.exe -c < ...

  3. python3+pyshark读取wireshark数据包并追踪telnet数据流

    一.程序说明 本程序有两个要点,第一个要点是读取wireshark数据包(当然也可以从网卡直接捕获改个函数就行),这个使用pyshark实现.pyshark是tshark的一个python封装,至于t ...

  4. Python3+pyshark捕获数据包并保存为文件

    一.直接使用wireshark捕获数据包并保存为文件 可以使用wireshark通过图形界面的操作来实现捕获数据包并保存为文件. wireshark默认捕获的数据包保存为临时文件,如果最后退出时不选择 ...

  5. 【VS开发】使用WinPcap编程(4)——把网络数据包存储到一个文件中

    这里用到的数据结构是pcap_dumper_t,这也是一个相当于文件描述符的东西,我们在用的时候先指定pcap_dumper_t *dumpfp; 使用两个函数来存储网络数据,一个是pcap_dump ...

  6. python解析pcap文件中的http数据包

    使用scapy.scapy_http就可以方便的对pcap包中的http数据包进行解析 scapy_http可以在https://github.com/invernizzi/scapy-http下载, ...

  7. 深入理解USB流量数据包的抓取与分析

    0x01 问题提出 在一次演练中,我们通过wireshark抓取了一个如下的数据包,我们如何对其进行分析? 0x02 问题分析 流量包是如何捕获的? 首先我们从上面的数据包分析可以知道,这是个USB的 ...

  8. 下载nltk数据包报错

    安装nltk需要两步:安装nltk和安装nltk_data数据包 安装nltk 安装nltk很简单,可以直接在pycharm环境中安装,flie -> settings-> Python ...

  9. 【lwip】04-网络数据包流向

    目录 前言 4.1 TCPIP分层与lwip数据共享 4.2 协议栈线程模型 4.3 pbuf 结构体 4.3.1 pbuf的标志位flags 4.4 pbuf的类型 4.4.1 PBUF_RAM类型 ...

随机推荐

  1. [SoapUI] Jenkins 配置

    cd %WORKSPACE% cmd /c call "%SOAPUI_PRO_HOME%\bin\testrunner.bat" -a -j -PprojectPath=&quo ...

  2. 洛谷P1466集合——背包

    题目:https://www.luogu.org/problemnew/show/P1466 水题,注意开long long; 代码如下: #include<iostream> #incl ...

  3. 【转】[钉钉通知系列]Jenkins发布后自动通知

    转载请注明出处:https://www.cnblogs.com/jianxuanbing/p/7211006.html 阅读目录 一.前言 二.使用钉钉推送的优势 三.配置 一.前言 最近使用Jenk ...

  4. 在线抠图网站速抠图sukoutu.com全面技术解析之canvas应用

    技术关键词 Canvas应用,泛洪算法(Flood Fill),图片缩放,相对位置等比缩放,判断一个点是否在一个平面闭合多边形,nginx代理 业务关键词 在线抠图,智能抠图,一键抠图,钢笔抠图,矩阵 ...

  5. Codeforces Round #422 (Div. 2) C. Hacker, pack your bags!(更新数组)

    传送门 题意 给出n个区间[l,r]及花费\(cost_i\),找两个区间满足 1.区间和为指定值x 2.花费最小 分析 先用vector记录(l,r,cost)和(r,l,cost),按l排序,再设 ...

  6. CodeForces 13A【暴力】

    题意: 给你的一个十进制数n,计算对于2~n-1进制下的每个位相加和与数n-2的比值. 思路: n是1000,所以直接暴力一发? #include<cstdio> #include< ...

  7. H5+JS实现手机摇一摇功能

    在做微信活动页面的时候,经常会需要实现手机摇一摇功能,比如“摇一摇,拿好礼”. 为了实现它,就需要用到HTML5的DeviceOrientation特性.它提供的DeviceMotion事件封装了设备 ...

  8. poj 3294 Life Forms【SA+二分】

    先加入未出现字符间隔把n个串连起来,注意如果串开的char这个间隔字符不能溢出,把这个接起来的串跑SA,二分答案k,判断的时候把连续一段he>=k的分成一组,然后看着一段是否包含了>n/2 ...

  9. loj#2540. 「PKUWC2018」随机算法

    传送门 完了pkuwc咋全是dp怕是要爆零了-- 设\(f(S)\)表示\(S\)的排列数,\(S\)为不能再选的点集(也就是选到独立集里的点和与他们相邻的点),\(mx(S)\)表示\(S\)状态下 ...

  10. 51Nod 1094 和为k的连续区间

    #include <iostream> #include <algorithm> #include <cstring> using namespace std; t ...