wireshark是一个网络数据包的分析工具,主要用来捕获网卡上的数据包并显示数据包的详细内容。在处理一些大的数据包文件时,如果直接用wireshark图形工具打开一些大文件的数据包会出现响应慢甚至没有响应的情况,所以可以用wireshark带的一些命令集工具程序来处理数据包文件,本章着重讲数据包文件的分割。

1、打开dos命令行,通过capinfos <filename>命令查看数据包文件的基本信息,包括文件的大小、报文数量等:(如果无法执行命令则需要在环境变量中添加wireshark程序集的安装路径)

PS E:\capture> capinfos .\1000kb.pcap

File name:           .\1000kb.pcap

File type:           Wireshark/... - pcapng

File encapsulation:  Ethernet

File timestamp precision:  microseconds (6)

Packet size limit:   file hdr: (not set)

Number of packets:   9238

File size:           4627 kB

Data size:           4321 kB

Capture duration:    305.585406 seconds

First packet time:   2017-09-27 16:23:07.550690

Last packet time:    2017-09-27 16:28:13.136096

Data byte rate:      14 kBps

Data bit rate:       113 kbps

Average packet size: 467.76 bytes

Average packet rate: 30 packets/s

SHA1:                31280cb3fd0c1e70f8a9fc9a14ce45b4f52b51a8

RIPEMD160:           f4ee9d62113b55ceee6a394228d31910be745dc0

MD5:                 18b9363419eb9db0afd6b8a4145a57c7

Strict time order:   True
//这一部分信息是捕获这个数据包的系统和网卡信息,不是每一个文件都会包含这一部分信息的

Capture hardware:    Intel(R) Core(TM) i5-5200U CPU @ 2.20GHz (with SSE4.2)

Capture oper-sys:    64-bit Windows 10, build 14393

Capture application: Dumpcap (Wireshark) 2.4.1 (v2.4.1-0-gf42a0d2b6c)

Number of interfaces in file: 1

Interface #0 info:

                     Name = \Device\NPF_{2B766845-80BC-4981-948B-8B8B27FF5AE1}

                     Encapsulation = Ethernet (1 - ether)

                     Capture length = 65535

                     Time precision = microseconds (6)

                     Time ticks per second = 1000000

                     Time resolution = 0x06

                     Operating system = 64-bit Windows 10, build 14393

                     Number of stat entries = 1

                     Number of packets = 9238

2、按指定报文数量进行分割:editcap –c <count> <input_filename> <output_filename>,例如以每个文件2000个数据包分割一个8k+数据包文件:

PS E:\capture> capinfos .\internet.pcap

File name:           .\internet.pcap

File type:           Wireshark/tcpdump/... - pcap

File encapsulation:  Ethernet

File timestamp precision:  microseconds (6)

Packet size limit:   file hdr: 262144 bytes

Number of packets:   8868

File size:           6314 kB

Data size:           6172 kB

Capture duration:    29.186309 seconds

First packet time:   2017-01-04 20:58:09.045419

Last packet time:    2017-01-04 20:58:38.231728

Data byte rate:      211 kBps

Data bit rate:       1691 kbps

Average packet size: 696.04 bytes

Average packet rate: 303 packets/s

SHA1:                308106d42663b6daea5f078779e112e2457975b4

RIPEMD160:           13b91a516eb825dbdceb5d291fea5343a5fb6629

MD5:                 5320ddbbef7a7f25d8b17a964dbfb40d

Strict time order:   True

Number of interfaces in file: 1

Interface #0 info:

                     Encapsulation = Ethernet (1 - ether)

                     Capture length = 262144

                     Time precision = microseconds (6)

                     Time ticks per second = 1000000

                     Number of stat entries = 0

                     Number of packets = 8868

PS E:\capture>

PS E:\capture> editcap -c 2000 .\internet.pcap internet_2000.pcap

PS E:\capture>

PS E:\capture> ls

    目录: E:\capture

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        2017/9/27     16:28        4627932 1000kb.pcap

-a----         2017/1/4     20:21             94 doff.pcap

-a----        2017/9/27     16:30           2596 httphostaddrs.txt

-a----         2017/1/4     20:58        6314391 internet.pcap

-a----        2017/9/28     14:55        1596712 internet_2000_00000_20170104205809.pcap

-a----        2017/9/28     14:55        1719644 internet_2000_00001_20170104205813.pcap

-a----        2017/9/28     14:55        1736972 internet_2000_00002_20170104205813.pcap

-a----        2017/9/28     14:55        1153596 internet_2000_00003_20170104205814.pcap

-a----        2017/9/28     14:55         265720 internet_2000_00004_20170104205828.pcap

-a----        2017/1/10     10:24          43825 ipv6.pcap

-a----        2017/1/10     10:24            262 ipv61.pcap

-a----        2017/1/10     10:25            254 ipv62.pcap

-a----        2017/1/10     13:47            154 ipv6_tester1.pcap

-a----        2017/1/12     11:44            100 vlan1002.pcap

-a----        2017/3/17     18:11        1121384 webauth.pcapng

PS E:\capture>

PS E:\capture> start .\internet_2000_00000_20170104205809.pcap

分割文件命名:会以序号加上每个文件的报文起始时间为命名,可以打开分割后的文件查看:

在文件>文件集合>列出文件 可以快速切换到其他分割的文件:

3、按指定时间间隔进行分割:editcap –i <time> <input_filename> <output_filename>,例如以每个文件包含10s数据包分割数据包文件:

PS E:\capture> editcap -i 10 .\internet.pcap internet_10s.pcap

PS E:\capture>

PS E:\capture> ls

    目录: E:\capture

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        2017/9/27     16:28        4627932 1000kb.pcap

-a----         2017/1/4     20:21             94 doff.pcap

-a----        2017/9/27     16:30           2596 httphostaddrs.txt

-a----         2017/1/4     20:58        6314391 internet.pcap

-a----        2017/9/28     15:16        6041588 internet_10s_00000_20170104205809.pcap

-a----        2017/9/28     15:16         180956 internet_10s_00001_20170104205819.pcap

-a----        2017/9/28     15:16         249956 internet_10s_00002_20170104205829.pcap

-a----        2017/1/10     10:24          43825 ipv6.pcap

-a----        2017/1/10     10:24            262 ipv61.pcap

-a----        2017/1/10     10:25            254 ipv62.pcap

-a----        2017/1/10     13:47            154 ipv6_tester1.pcap

-a----        2017/1/12     11:44            100 vlan1002.pcap

-a----        2017/3/17     18:11        1121384 webauth.pcapng

PS E:\capture> start .\internet_10s_00000_20170104205809.pcap

PS E:\capture>

  

如何使用capedit分割数据包文件的更多相关文章

  1. TCP/IP协议数据包文件PCAP分析器

    一.设计原理 1.PCAP文件构成 参考http://blog.csdn.net/gulu_gulu_jp/article/details/50494909 PCAP文件由一个PCAP文件头和多个PC ...

  2. Wireshark wireshake数据包分割及捕包过滤器介绍

    wireshake数据包分割及捕包过滤器介绍 by:授客 QQ:1033553122 wireshake自带工具editcap分割数据包 操作: 进入到目录,然后 editcap.exe -c < ...

  3. python3+pyshark读取wireshark数据包并追踪telnet数据流

    一.程序说明 本程序有两个要点,第一个要点是读取wireshark数据包(当然也可以从网卡直接捕获改个函数就行),这个使用pyshark实现.pyshark是tshark的一个python封装,至于t ...

  4. Python3+pyshark捕获数据包并保存为文件

    一.直接使用wireshark捕获数据包并保存为文件 可以使用wireshark通过图形界面的操作来实现捕获数据包并保存为文件. wireshark默认捕获的数据包保存为临时文件,如果最后退出时不选择 ...

  5. 【VS开发】使用WinPcap编程(4)——把网络数据包存储到一个文件中

    这里用到的数据结构是pcap_dumper_t,这也是一个相当于文件描述符的东西,我们在用的时候先指定pcap_dumper_t *dumpfp; 使用两个函数来存储网络数据,一个是pcap_dump ...

  6. python解析pcap文件中的http数据包

    使用scapy.scapy_http就可以方便的对pcap包中的http数据包进行解析 scapy_http可以在https://github.com/invernizzi/scapy-http下载, ...

  7. 深入理解USB流量数据包的抓取与分析

    0x01 问题提出 在一次演练中,我们通过wireshark抓取了一个如下的数据包,我们如何对其进行分析? 0x02 问题分析 流量包是如何捕获的? 首先我们从上面的数据包分析可以知道,这是个USB的 ...

  8. 下载nltk数据包报错

    安装nltk需要两步:安装nltk和安装nltk_data数据包 安装nltk 安装nltk很简单,可以直接在pycharm环境中安装,flie -> settings-> Python ...

  9. 【lwip】04-网络数据包流向

    目录 前言 4.1 TCPIP分层与lwip数据共享 4.2 协议栈线程模型 4.3 pbuf 结构体 4.3.1 pbuf的标志位flags 4.4 pbuf的类型 4.4.1 PBUF_RAM类型 ...

随机推荐

  1. 命令行 sql 将结果导出到文件

    1. into outfile filename; Mysql查询结果导出为Excel的几种方法 mysql> use world; # 使用 mysql 自带的 world 数据库 mysql ...

  2. 压缩&&解压

    压缩与解压缩: ############################################################# tar xvf wordpress.tar       ## ...

  3. Eclipse的maven工程不小心移除了Maven Dependencies,如何添加回来?

    转自:https://blog.csdn.net/eininotop/article/details/71124533 选择该工程--> 点击右键--> 选择Properties--> ...

  4. vs 2015 community Blend和devenv启动的区别

    使用Blend启动会有部分功能无法显示 如:SVN管理插件,工具栏 使用devenv启动会全部显示

  5. chromium浏览器开发系列第一篇:如何获取最新chromium源码

    背景:      最近摊上一个事儿,领导非要让写一篇技术文章,思来想去,自己接触chrome浏览器时间也不短了,干脆就总结一下吧.于是乎,本文顺理成章.由于有些细节必需描述清楚,所以这次先讲如何拿到c ...

  6. Unity3D模型制作规范[转]

    本文提到的所有数字模型制作,全部是用3D MAX建立的模型,即使是不同的驱动引擎,对模型的要求基本是相同的.当一个VR模型制作完成时,它所包含的基本内容包括:场景尺寸.单位,模型归类塌陷.命名.节点编 ...

  7. Win32控制台程序和Win32应用程序

    刚接触Windows那一套,大多数概念都还没建立起来,整理了一下网上对“Win32控制台程序”的理解,谢谢各位网友了. win32控制台项目指在32位Windows命令提示符(即所谓的dos)环境下运 ...

  8. 当打开一个.h或.cpp文件时, Solution Explorer就自动展开文件所在的目录

    当打开一个.h或.cpp文件时,  Solution Explorer就自动展开文件所在的目录: 如果不想展开: Tools           -> Options           -&g ...

  9. 【Python】Python3.4+Matplotlib详细安装教程

    网上找了很多教程,这个还不错. 传送门:https://blog.csdn.net/xqf1528399071/article/details/52233895

  10. oatu2.0认证原理(转)

    今天有时间总结一下: 一.OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版. 在详细讲解OAuth 2.0之前,需要了解几个专用名词,理 ...