tshark

  • 查看pcap文件第一个包的时间,当文件名不包含时间信息时非常有帮助

   tshark -c 1 -T fields -e frame.time -r test.pcap

dumpcap

editcap

基本语法

editcap [options] ... <infile> <outfile> [ <packet#>[-<packet#>] ... ]

主要参数分类含义权作解说

包选择类

-r 保留选择的包;默认为删除。
-A <start time> 选择所有包的时间戳大于该时间的包。
-B <stop time> 选择所有包的时间戳小于该时间的包。

删除重复包类

-d 删除重复的包(默认5个内进行比对)。
-D <dup window> 删除重复的包,并指定在<dup window>个包内进行比对<dup window>的范围为0-1000000。
-w <dup time window> 删除重复的包,并指定时间在<dup time window>之前的数据包才做重复删除操作。

处理类

-s <snaplen> 将数据包截断成长度为<snaplen>的数据包。
-C <choplen> 将包尾的<choplen>个字节砍掉。
-t <time adjustment> 调整包的时间戳;<time adjustment> 即可以为正数,也可以为负数。
-E <error probability> 按照<error probability>的比例随机制造错包,例如<error probability>为0.05,则包文件中5%的包会随机被配置为各种错包。

输出类

-c <packets per file> 按包个数分割包文件,如<packets per file>为1000,则将原始包文件分割成多个文件,每个文件的包个数为1000,当然最后一个文件的包数可以小于等于1000.
-i <seconds per file> 按时间分割包文件,如<seconds per file>为10,则每个被分割的文件中的包时间戳均在10s内,且每个包的时间戳又会从0开始.
-F <capture type> 设置输出文件的格式,默认为pcapng。
-T <encap type> 设置输出文件中包封装的类型,默认和原始包封装类型一致。

使用示例

1.将数据包截断为64字节长度,且转换为snoop的格式:
editcap -s 64 -F snoop capture.pcap shortcapture.snoop

2.删除原始文件中的第1000个数据包:
editcap capture.pcap sans1000.pcap 1000

3.提取原始文件中的第200到750个包:
editcap -r capture.pcap small.pcap 200-750

4.提取原始文件中的第 1, 5, 10 to 20 and 30 to 40个包:
editcap -r capture.pcap select.pcap 1 5 10-20 30-40

5.删除与前面4个包中有重复的包:
editcap -d capture.pcap dedup.pcap

6.删除与前面100个包中有重复的包:
editcap -D 101 capture.pcap dedup.pcap

7.是原始文件中5%的包随机变为错包:
editcap -E 0.05 capture.pcap capture_error.pcap

capinfos

  • 查看pcap的信息

capinfos -AM test.pcap

mergecap

wireshark工具集的更多相关文章

  1. 基于windows 10打造的kali工具集

    基于windows 10打造的kali工具集.iso,适合于习惯使用windows的安全从业者.if you like it,please touch star! 作为安全从业主,Kali都是必备工具 ...

  2. 价值1400美元的CEH(道德黑客)认证培训课程长啥样?(3)工具集

    美元的CEH(道德黑客)认证培训课程长啥样?(3)工具集 这是我收到的CEH官方发来的邮件,参加CEH认证培训原价为1424.25刀,可以给我便宜到1282刀.只有一个感觉,心在流血.站在这价值120 ...

  3. Android抓包方法(三)之Win7笔记本Wifi热点+WireShark工具

    Android抓包方法(三) 之Win7笔记本Wifi热点+WireShark工具 前言 做前端测试,基本要求会抓包,会分析请求数据包,查看接口是否调用正确,数据返回是否正确,问题产生是定位根本原因等 ...

  4. Wireshark工具创建过滤器的方式

    Wireshark工具创建过滤器的方式  [实例1-3]现在要抓取目的或来源地址为192.168.5.9的封包.在图1.5中添加如下所示的条件: tcp dst port 3128 添加后单击Star ...

  5. Apache Commons 工具集

    一.Commons BeanUtils http://jakarta.apache.org/commons/beanutils/index.html 说明:针对Bean的一个工具集.由于Bean往往是 ...

  6. kali linux 渗透测试视频教程 第五课 社会工程学工具集

    第五课 社会工程学工具集 文/玄魂 教程地址:http://edu.51cto.com/course/course_id-1887.html   目录 第五课社会工程学工具集 SET SET的社会工程 ...

  7. 如何判断平台工具集去做条件编译(VC++目录、预处理器定义、$(PlatformToolsetVersion))

    作者:zyl910 从VS2010开始,提供了一个平台工作集(Platform ToolSet)选项用于配制vc编译版本.到了VS2012,更是因为默认平台工具集不支持WindowsXP,导致经常需要 ...

  8. VS平台工具集版本

    参考:http://blog.csdn.net/hillseas/article/details/47373313 VS从2010之后开始支持使用之前的版本进行编译,可以在工程属性->常规中进行 ...

  9. Android虚拟环境的工具集Genymotion完整安装教程

    Genymotion提供Android虚拟环境的工具集.相信很多Android开发者一定受够了速度慢.体验差效率及其地下的官方模拟器了.如果你没有物理机器,又不想忍受官方模拟器的折磨,Genymoti ...

随机推荐

  1. hadoop 添加,删除节点

    http://www.cnblogs.com/tommyli/p/3418273.html

  2. day2-python数据类型及关系

  3. H3C-路由器密码恢复

    路由器密码恢复: 1.先关闭电源,重新启动路由器,注意终端上显示 press CTRL+B to enter extended boot menu 的时候,我们迅速按下ctrl+B,这样将进入扩展启动 ...

  4. 在IAR(EWARM)中移植STM32固件库

    一.移植环境说明 (1).win10系统 (2).IAR(EWARM)7.7 (3).STM32标准固件库3.5.0 http://www.st.com/content/st_com/en/produ ...

  5. JS字符串与十六进制的相互转换(转载)

    原文链接:http://www.cnblogs.com/zack-/archive/2012/04/17/website_using.html 1.字符串转换为十六进制 主要使用 charCodeAt ...

  6. classpath路径指什么

    一.classpath路径指什么 只知道把配置文件如:mybatis.xml.spring-web.xml.applicationContext.xml等放到src目录(就是存放代码.java文件的目 ...

  7. TCPflow:在Linux中分析和调试网络流量的利器(转)

    TCPflow是一款功能强大的.基于命令行的免费开源工具,用于在Unix之类的系统(如Linux)上分析网络流量.它可捕获通过TCP连接接收或传输的数据,并存储在文件中供以后分析,采用的格式便于协议分 ...

  8. 3、webpack打包出的文件解析

    分析打包后的结果,看看打包后的结果是什么东西 把打包后的结果.注释什么的删删‘’ 当前是一个匿名函数. 默认的时候会执行,执行的时候会传一个对象,对象有几部分,第一部分是我们的key.第二部分是我们的 ...

  9. javascript runat server

    <script runat="server"> protected void SubmitBtn_Click(object sender, EventArgs e) { ...

  10. UVALive 7327【模拟】

    题意: 每次方案一个或多个子序列: 每个子序列要整除m 认为分割不同,子序列边界的不同就是不同: 1246有4个 1246 12 46 124 6 12 4 6 思路: 先从整体考虑,因为取膜适用于加 ...