কীভাবে একটি পিসিপি ফাইলকে ছোট ছোটগুলির একটি সেটে বিভক্ত করা যায়

47

আমার কাছে একটি বিশাল পিসিএপ ফাইল রয়েছে (টিসিপিডম্প দ্বারা উত্পাদিত)। আমি যখন এটি ওয়্যারশার্কে খোলার চেষ্টা করি তখন প্রোগ্রামটি কেবল প্রতিক্রিয়াবিহীন হয়। ছোট ফাইলগুলির সেটগুলিতে ফাইলগুলি একে একে খোলার কোনও উপায় আছে কি? একটি ফাইলের ক্যাপচার ট্র্যাফিক দুটি সার্ভারে দুটি প্রোগ্রাম দ্বারা উত্পন্ন হয়, তাই আমি tcpdump 'হোস্ট' বা 'পোর্ট' ফিল্টার ব্যবহার করে ফাইলটি বিভক্ত করতে পারি না। আমি লিনাক্স 'স্প্লিট' কমান্ডটিও চেষ্টা করেছি :-) তবে ভাগ্য নেই। ওয়্যারশার্ক ফর্ম্যাটটি চিনতে পারত না।

tcpdump pcap

— facha
সূত্র

বিশাল কত বড়? এটি কি উপলভ্য র্যামের চেয়ে অনেক বড়?

— pehrs

2

কিছুটা দেরি হয়ে গেছে, তবে ওয়্যারশার্ক যে ফাইলগুলি আউটপুট হিসাবে পড়বে না সে কারণ স্প্লিটটি splitসঠিক বাইট সীমানায় বিভক্ত হবে। এটি এমন কোনও প্যাকেট বিভক্ত হওয়ার সম্ভাবনা রয়েছে যা কিছু ফাইলের সামগ্রীকে অকার্যকর করে দেয়।

— বুরহান আলী

72

আপনি -c, -r এবং -w বিকল্পের সাহায্যে tcpdump নিজেই ব্যবহার করতে পারেন

tcpdump -r old_file -w new_files -C 10

"-C" বিকল্পটি বিভক্ত করার জন্য ফাইলের আকার নির্দিষ্ট করে। উদাহরণস্বরূপ: উপরের ক্ষেত্রে নতুন ফাইলের আকার প্রতিটি হবে 10 মিলিয়ন বাইট।

— ড্যান অ্যান্ড্রিটা
সূত্র

তুমি আশ্চর্য মানুষ, ড্যান।

— লবি

কোনও সেশন ভেঙে না ফেলে কী করার কোনও উপায় আছে? (ধরে নিই যে একটি একক অধিবেশন আকারের সীমা যুক্তির চেয়ে ছোট)।

— স্প্যানিশগাম

দ্রুত: tcpdump -r old_file -w new_files -C 1000 রেকর্ডকৃত ট্রাফিকের প্রতি

— 955MB

18

editcapইউটিলিটি ব্যবহার করুন যা ওয়্যারশার্ক দিয়ে বিতরণ করা হয়েছে।

— ড্যান কার্লে
সূত্র

5

editpcap -c 1000 input.pcap output.pcapinput.pcapক্যাপচারে সর্বাধিক 1000 প্যাকেট সহ ক্যাপচারগুলিতে বিভক্ত হবে। আউটপুটটি একাধিক ক্যাপচার ফাইলগুলির ফর্ম্যাট হবেoutput_{index}_{timestamp}.pcap

— ব্লেচনিট

1

উদাহরণস্বরূপ আপনাকে ব্ল্যাচনিয়েট ধন্যবাদ! তবে এটা ঠিক editcap, তাই না editpcap?

— lindhe

3

আমি জানি এই উত্তরটি একটু দেরিতে হয়েছে তবে এটি অন্যান্য লোকদেরও উপভোগ করতে পারে। পিসিপি ফাইলগুলি বিভক্ত করার জন্য আমি একটি দুর্দান্ত সরঞ্জাম পেয়েছি: প্যাকাপস্প্লিটার । এটি পিসাপপ্লাস প্লাস লাইব্রেরির অংশ যার অর্থ এটি ক্রস-প্ল্যাটফর্ম (উইন 32 , লিনাক্স এবং ম্যাক ওএস), এবং এটি ফাইলের আকারের (যেমন আপনার প্রয়োজনীয় বলে মনে হচ্ছে) বিভিন্ন মানদণ্ডের ভিত্তিতে পিসিপি ফাইলগুলি বিভক্ত করতে পারে তবে সংযোগ, ক্লায়েন্ট / সার্ভারের সাহায্যে আইপি, সার্ভার পোর্ট (প্রোটোকলের অনুরূপ), প্যাকেট কাউন্ট ইত্যাদি আমার কাছে এটি খুব দরকারী বলে মনে হয়েছে। উপরের লিঙ্কটি সোর্স কোডের জন্য, তবে আপনি কীভাবে / কীভাবে সংকলন করতে চান তা জানতে না চাইলে আমি বেশ কয়েকটি প্ল্যাটফর্মের জন্য এই সরঞ্জামটি ব্যবহার করে যাচ্ছি তার জন্য সংকলিত বাইনারি তৈরি করেছি। আমি এই সরঞ্জামটি খুব প্রস্তাব করছি

সম্পাদনা: স্পষ্টতই প্যাকাপপ্লাস প্লাসের একটি নতুন সংস্করণ প্রকাশিত হয়েছিল এবং এতে বেশ কয়েকটি প্ল্যাটফর্মের জন্য উইন্ডোজ, উবুন্টু 12.04 / 14.04, ম্যাক ওএসএক্স ম্যাভেরিক্স / ইয়োসেমাইট / এল ক্যাপ্টিয়ান) রয়েছে পিসাপস্প্লিটার বাইনারি। আমি মনে করি আমার পূর্ববর্তী লিঙ্কটির চেয়ে এই বাইনারিগুলি ব্যবহার করা ভাল। আপনি এটি এখানে খুঁজে পেতে পারেন

— fx23
সূত্র

2

যাওয়ার সবচেয়ে ভাল এবং দ্রুততম উপায় হল স্প্লিটক্যাপ ব্যবহার করা, যা উদাহরণস্বরূপ সেশনের উপর ভিত্তি করে বড় প্যাকেট ডাম্প ফাইলগুলি বিভক্ত করতে পারে। এইভাবে আপনি প্রতিটি টিসিপি সেশনটি পৃথক পিসিএপি ফাইলে পাবেন। আইপি ঠিকানার ভিত্তিতে স্প্লিটক্যাপ প্যাকেটগুলি পিসিপি ফাইলগুলিতে পৃথক করতে পারে।

আপনি নেটরেসেক ব্লগে স্প্লিটক্যাপ সম্পর্কে আরও পড়তে পারেন: http://www.netresec.com/?page=Blog&month=2011-05&post=Split-or-filter-your-PCAP-files-with-SplitCap

এখান থেকে স্প্লিটক্যাপ ডাউনলোড করুন: http://www.netresec.com/?page=SplitCap

শুভকামনা!

— Netresec
সূত্র

কোন লিনাক্স সংস্করণ আছে?

— ychaouche

এটি একটি দুর্দান্ত প্রোগ্রাম, এটিতে পিসিএপএনজি ফাইলগুলির সাথে কাজ করার সামর্থ্যের অভাব রয়েছে।

— গুন্ট্রাম ব্লহম

0

tcpdump -w trace.pcap -W 48 -G 300 -C 100 -i any port 41110

-G 300 এটি 5 মিনিটে ঘোরাবে
-W 48 ফাইল গণনা
-C 100 ফাইলের আকার 100 এমবি
port আপনি অ্যাপ্লিকেশন উপর ভিত্তি করে পোর্ট নির্দিষ্ট করতে পারেন

— user531905
সূত্র