wireshark是一个网络数据包的分析工具,主要用来捕获网卡上的数据包并显示数据包的详细内容。在处理一些大的数据包文件时,如果直接用wireshark图形工具打开一些大文件的数据包会出现响应慢甚至没有响应的情况,所以可以用wireshark带的一些命令集工具程序来处理数据包文件,本章着重讲数据包文件的分割。

1、打开dos命令行,通过capinfos <filename>命令查看数据包文件的基本信息,包括文件的大小、报文数量等:(如果无法执行命令则需要在环境变量中添加wireshark程序集的安装路径)

PS E:\capture> capinfos .\1000kb.pcap

File name:           .\1000kb.pcap

File type:           Wireshark/... - pcapng

File encapsulation:  Ethernet

File timestamp precision:  microseconds (6)

Packet size limit:   file hdr: (not set)

Number of packets:   9238

File size:           4627 kB

Data size:           4321 kB

Capture duration:    305.585406 seconds

First packet time:   2017-09-27 16:23:07.550690

Last packet time:    2017-09-27 16:28:13.136096

Data byte rate:      14 kBps

Data bit rate:       113 kbps

Average packet size: 467.76 bytes

Average packet rate: 30 packets/s

SHA1:                31280cb3fd0c1e70f8a9fc9a14ce45b4f52b51a8

RIPEMD160:           f4ee9d62113b55ceee6a394228d31910be745dc0

MD5:                 18b9363419eb9db0afd6b8a4145a57c7

Strict time order:   True
//这一部分信息是捕获这个数据包的系统和网卡信息,不是每一个文件都会包含这一部分信息的

Capture hardware:    Intel(R) Core(TM) i5-5200U CPU @ 2.20GHz (with SSE4.2)

Capture oper-sys:    64-bit Windows 10, build 14393

Capture application: Dumpcap (Wireshark) 2.4.1 (v2.4.1-0-gf42a0d2b6c)

Number of interfaces in file: 1

Interface #0 info:

                     Name = \Device\NPF_{2B766845-80BC-4981-948B-8B8B27FF5AE1}

                     Encapsulation = Ethernet (1 - ether)

                     Capture length = 65535

                     Time precision = microseconds (6)

                     Time ticks per second = 1000000

                     Time resolution = 0x06

                     Operating system = 64-bit Windows 10, build 14393

                     Number of stat entries = 1

                     Number of packets = 9238

2、按指定报文数量进行分割:editcap –c <count> <input_filename> <output_filename>,例如以每个文件2000个数据包分割一个8k+数据包文件:

PS E:\capture> capinfos .\internet.pcap

File name:           .\internet.pcap

File type:           Wireshark/tcpdump/... - pcap

File encapsulation:  Ethernet

File timestamp precision:  microseconds (6)

Packet size limit:   file hdr: 262144 bytes

Number of packets:   8868

File size:           6314 kB

Data size:           6172 kB

Capture duration:    29.186309 seconds

First packet time:   2017-01-04 20:58:09.045419

Last packet time:    2017-01-04 20:58:38.231728

Data byte rate:      211 kBps

Data bit rate:       1691 kbps

Average packet size: 696.04 bytes

Average packet rate: 303 packets/s

SHA1:                308106d42663b6daea5f078779e112e2457975b4

RIPEMD160:           13b91a516eb825dbdceb5d291fea5343a5fb6629

MD5:                 5320ddbbef7a7f25d8b17a964dbfb40d

Strict time order:   True

Number of interfaces in file: 1

Interface #0 info:

                     Encapsulation = Ethernet (1 - ether)

                     Capture length = 262144

                     Time precision = microseconds (6)

                     Time ticks per second = 1000000

                     Number of stat entries = 0

                     Number of packets = 8868

PS E:\capture>

PS E:\capture> editcap -c 2000 .\internet.pcap internet_2000.pcap

PS E:\capture>

PS E:\capture> ls

    目录: E:\capture

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        2017/9/27     16:28        4627932 1000kb.pcap

-a----         2017/1/4     20:21             94 doff.pcap

-a----        2017/9/27     16:30           2596 httphostaddrs.txt

-a----         2017/1/4     20:58        6314391 internet.pcap

-a----        2017/9/28     14:55        1596712 internet_2000_00000_20170104205809.pcap

-a----        2017/9/28     14:55        1719644 internet_2000_00001_20170104205813.pcap

-a----        2017/9/28     14:55        1736972 internet_2000_00002_20170104205813.pcap

-a----        2017/9/28     14:55        1153596 internet_2000_00003_20170104205814.pcap

-a----        2017/9/28     14:55         265720 internet_2000_00004_20170104205828.pcap

-a----        2017/1/10     10:24          43825 ipv6.pcap

-a----        2017/1/10     10:24            262 ipv61.pcap

-a----        2017/1/10     10:25            254 ipv62.pcap

-a----        2017/1/10     13:47            154 ipv6_tester1.pcap

-a----        2017/1/12     11:44            100 vlan1002.pcap

-a----        2017/3/17     18:11        1121384 webauth.pcapng

PS E:\capture>

PS E:\capture> start .\internet_2000_00000_20170104205809.pcap

分割文件命名:会以序号加上每个文件的报文起始时间为命名,可以打开分割后的文件查看:

在文件>文件集合>列出文件 可以快速切换到其他分割的文件:

3、按指定时间间隔进行分割:editcap –i <time> <input_filename> <output_filename>,例如以每个文件包含10s数据包分割数据包文件:

PS E:\capture> editcap -i 10 .\internet.pcap internet_10s.pcap

PS E:\capture>

PS E:\capture> ls

    目录: E:\capture

Mode                LastWriteTime         Length Name

----                -------------         ------ ----

-a----        2017/9/27     16:28        4627932 1000kb.pcap

-a----         2017/1/4     20:21             94 doff.pcap

-a----        2017/9/27     16:30           2596 httphostaddrs.txt

-a----         2017/1/4     20:58        6314391 internet.pcap

-a----        2017/9/28     15:16        6041588 internet_10s_00000_20170104205809.pcap

-a----        2017/9/28     15:16         180956 internet_10s_00001_20170104205819.pcap

-a----        2017/9/28     15:16         249956 internet_10s_00002_20170104205829.pcap

-a----        2017/1/10     10:24          43825 ipv6.pcap

-a----        2017/1/10     10:24            262 ipv61.pcap

-a----        2017/1/10     10:25            254 ipv62.pcap

-a----        2017/1/10     13:47            154 ipv6_tester1.pcap

-a----        2017/1/12     11:44            100 vlan1002.pcap

-a----        2017/3/17     18:11        1121384 webauth.pcapng

PS E:\capture> start .\internet_10s_00000_20170104205809.pcap

PS E:\capture>

  

如何使用capedit分割数据包文件的更多相关文章

  1. TCP/IP协议数据包文件PCAP分析器

    一.设计原理 1.PCAP文件构成 参考http://blog.csdn.net/gulu_gulu_jp/article/details/50494909 PCAP文件由一个PCAP文件头和多个PC ...

  2. Wireshark wireshake数据包分割及捕包过滤器介绍

    wireshake数据包分割及捕包过滤器介绍 by:授客 QQ:1033553122 wireshake自带工具editcap分割数据包 操作: 进入到目录,然后 editcap.exe -c < ...

  3. python3+pyshark读取wireshark数据包并追踪telnet数据流

    一.程序说明 本程序有两个要点,第一个要点是读取wireshark数据包(当然也可以从网卡直接捕获改个函数就行),这个使用pyshark实现.pyshark是tshark的一个python封装,至于t ...

  4. Python3+pyshark捕获数据包并保存为文件

    一.直接使用wireshark捕获数据包并保存为文件 可以使用wireshark通过图形界面的操作来实现捕获数据包并保存为文件. wireshark默认捕获的数据包保存为临时文件,如果最后退出时不选择 ...

  5. 【VS开发】使用WinPcap编程(4)——把网络数据包存储到一个文件中

    这里用到的数据结构是pcap_dumper_t,这也是一个相当于文件描述符的东西,我们在用的时候先指定pcap_dumper_t *dumpfp; 使用两个函数来存储网络数据,一个是pcap_dump ...

  6. python解析pcap文件中的http数据包

    使用scapy.scapy_http就可以方便的对pcap包中的http数据包进行解析 scapy_http可以在https://github.com/invernizzi/scapy-http下载, ...

  7. 深入理解USB流量数据包的抓取与分析

    0x01 问题提出 在一次演练中,我们通过wireshark抓取了一个如下的数据包,我们如何对其进行分析? 0x02 问题分析 流量包是如何捕获的? 首先我们从上面的数据包分析可以知道,这是个USB的 ...

  8. 下载nltk数据包报错

    安装nltk需要两步:安装nltk和安装nltk_data数据包 安装nltk 安装nltk很简单,可以直接在pycharm环境中安装,flie -> settings-> Python ...

  9. 【lwip】04-网络数据包流向

    目录 前言 4.1 TCPIP分层与lwip数据共享 4.2 协议栈线程模型 4.3 pbuf 结构体 4.3.1 pbuf的标志位flags 4.4 pbuf的类型 4.4.1 PBUF_RAM类型 ...

随机推荐

  1. liunx操作系统安装<一>

    一:磁盘分区类型(1)主分区(最多四个主分区,比如window系统的C盘,D盘)(2)扩展分区,逻辑分区(为了能让磁盘多分出几个区域而存在)(3)交换分区(虚拟内存,当物理内存不足时候,作为应急存在)

  2. ubuntu设置里面怎么少了好多设置了比如桌面背景

    哈哈  我也是醉了  这个虚拟机真的不好对付 解决办法:sudo apt-get install unity-control-center          ok!

  3. Redis高级

    Redis高级 redis数据备份与恢复 Redis SAVE 命令用于创建当前数据库的备份. redis Save 命令基本语法如下: redis 127.0.0.1:6379> SAVE 实 ...

  4. 天天坐在电脑面前,小心抑郁!来自一个人的旅行<自导自演>

    画图画累了?写代码写累了?何不放松一下呢. 一望无际.亲近自然.忘乎所以.放空自我! 一个人的旅行, GoPro拍摄,后期采用FCPX.记录梦想, 自导自演.一个人去了很多地方, 认识和很多当地人,交 ...

  5. boost 编译 asio 程序,简单socket 编程

    自己第一次玩boost,对C++也非常不熟悉,记录一下自己的学习过程. 安装编译 boost 包解压到/opt下 tar -zxvf /media/C06EDE596EDE47B4/mnt/boost ...

  6. AForge.net简介和认识

    AForge.NET是一个专门为开发者和研究者基于C#框架设计的,他包括计算机视觉与人工智能,图像处理,神经网络,遗传算法,机器学习,模糊系统,机器人控制等领域.这个框架由一系列的类库组成.主要包括有 ...

  7. hdu1301 Jungle Roads 基础最小生成树

    #include<iostream> #include<algorithm> using namespace std; ; int n, m; ]; struct node { ...

  8. the little schemer 笔记(1)

    第 1 章 玩具 这是原子atom吗?atom是的,因为atom是一个字母a开头的字符串. 这是原子atom吗?turkey是的,因为atom是字母开头的字符串. 这是原子atom吗?1492是的,因 ...

  9. bzoj 4821 [Sdoi2017]相关分析

    题面 https://www.lydsy.com/JudgeOnline/problem.php?id=4821 题解 做法显然 就是维护一颗线段树 里面装4个东西 区间x的和 区间y的和 区间$x^ ...

  10. Nagios安装与部署

    Nagios概述: Nagios是一款开源免费(也有收费版的Nagios XI)的监控工具,可以用以监控Windows.Linux.Unix.Router.Switch,可以监控指定主机的物理基础资源 ...