টিসিপি সংযোগ দ্বারা পিসিপি ফাইলগুলি বিভক্ত করার সরঞ্জাম? [বন্ধ]

প্রতিটি টিসিপি সংযোগের জন্য একটি প্যাকেট ক্যাপচার ফাইল (পিসিএপ ফর্ম্যাটে) আলাদা ফাইলগুলিতে বিভক্ত করার কি সরঞ্জাম আছে? (বাড়ির উত্পন্ন শেল স্ক্রিপ্ট ব্যতীত যা সম্ভবত ক্যাপচারের সময় দু'বার চালানো দরকার ...)। ওয়্যারশার্কের 'টিসিপি স্ট্রিমটি অনুসরণ করুন' এর মতো কিছু তবে কমান্ড লাইনের জন্য (আমি ভয় পাচ্ছি যে 700 এমবি প্যাকেট ক্যাপচার প্রদর্শনের সময় ওয়্যারশার্ক প্রচুর পরিমাণে স্মৃতি গ্রহণ করবে)

আমি টিসিপিফ্লোতে দেখেছি তবে এটি মূল পিসিএপি ফাইলগুলির চেয়ে অনেক বড় ফাইলগুলি তৈরি করে বলে মনে হচ্ছে এবং তারা পিসিএপ ফর্ম্যাটে নেই বলে মনে হচ্ছে।

আপনি প্যাকাপস্প্লিটারও ব্যবহার করতে পারেন যা প্যাকাপপ্লাস প্লাসের অংশ is প্যাকেজের । এটি আপনার যা ঠিক প্রয়োজন তা করে (যা টিসিপি বা ইউডিপি সংযোগ দ্বারা পিসিপি ফাইলগুলি বিভক্ত করছে), এটি বহু-প্ল্যাটফর্ম এবং এতে মূল ফাইলে সংযোগের সংখ্যার কোনও সীমা থাকে না (যাতে আপনি এটি বৃহত বিভক্ত করতে ব্যবহার করতে পারেন) হাজার হাজার সংযোগ বা আরও বেশি সংবলিত পিসিএপ ফাইল)। উপরের লিঙ্কটি সোর্স কোডের জন্য, তবে আপনি যদি একটি সংকলিত বাইনারি চান - এখানে কয়েকটি প্ল্যাটফর্মের জন্য বাইনারিগুলির জন্য একটি লিঙ্ক দেওয়া হয়েছে

সম্পাদনা: স্পষ্টতই প্যাকাপপ্লাস প্লাসের একটি নতুন সংস্করণ প্রকাশিত হয়েছিল এবং এতে বেশ কয়েকটি প্ল্যাটফর্মের জন্য উইন্ডোজ, উবুন্টু 12.04 / 14.04, ম্যাক ওএসএক্স ম্যাভেরিক্স / ইয়োসেমাইট / এল ক্যাপ্টিয়ান) রয়েছে পিসাপস্প্লিটার বাইনারি। আমি মনে করি আমার আগে সরবরাহ করা লিঙ্কটির চেয়ে এই বাইনারিগুলি ব্যবহার করা ভাল। আপনি এটি এখানে খুঁজে পেতে পারেন

আপনি tcpdumpযে পিস্যাপটি চান তার অংশগুলি বের করতে ব্যবহার করতে পারেন ... মনে করুন আপনি একটি হোস্টে টিসিপি / 55777 এবং অন্যটিতে টিসিপি / 80 এর মধ্যে সকেট সংযোগে প্যাকেটগুলি সন্ধান করছেন। আপনার উত্স ফাইলটি bigfile.pcap, যা ওয়েব হোস্টকে প্রশ্নে অনেক HTTP সেশনের একটি স্নিফার ডাম্প ...

tcpdump -r bigfile.pcap -w session.pcap -s0 tcp and port 55777

এটি টিসিপি / 55777 এর ভিতরে bigfile.pcapএবং থেকে যাওয়া সমস্ত প্যাকেটগুলি টানবে এবং এগুলিতে অনুলিপি করবে session.pcap।

কিছুটা ওভারকিল, তবে tshark(শিপড wireshark) ব্যবহার করে আপনি এটি করতে পারেন zsh:

file=file.pcap
tshark -Tfields -e tcp.stream \
                -e frame.time_epoch \
                -e ip.src \
                -e tcp.srcport \
                -e ip.dst \
                -e tcp.dstport -r $file |
  sort -snu |
  while read -A f; do 
    tshark -r $file -2R "tcp.stream == $f[1]" -w ${(j:-:)f[2,-1]}.pcap
  done

যা এই জাতীয় নামের ফাইলগুলি তৈরি করে 1509466312.202450000-10.0.0.1-58892-10.0.0.2-80.pcap(প্রতিটি সংযোগে প্রদর্শিত প্রথম প্যাকেটের ভিত্তিতে)।

টিসিপিফ্লো আপনি যা চান তা - পিসিপিগুলি প্রতি টিসিপি সেশনে একটি ফাইলে বিভক্ত করে

http://www.circlemud.org/jelson/software/tcpflow/

এই সরঞ্জামটি সম্ভবত কাজ করবে বলে মনে হচ্ছে (আমি ব্যক্তিগতভাবে এটি ব্যবহার করি নি)

http://www.netresec.com/?page=SplitCap (উইন্ডোজ ভিত্তিক)

স্প্লিটক্যাপ একটি ফ্রি (বিয়ারের মতো) ওপেন সোর্স পিসিপি ফাইল স্প্লিটার। স্প্লিটক্যাপ টিসিপি এবং ইউডিপি সেশনের উপর ভিত্তি করে এক বড় পিসিপ ফাইলকে একাধিক ফাইলগুলিতে বিভক্ত করে, প্রতি সেশনে একটি পিসিপি ফাইল। স্প্লিটক্যাপ সেশন পরিবর্তে হোস্ট-জুয়ার জন্য একটি পিসিপি ফাইলকে একটি পিসিএপ ফাইলে বিভক্ত করতে ব্যবহার করা যেতে পারে।

@ sch দ্বারা অনুপ্রাণিত এখানে একটি বাশ সংস্করণ:

file=cap.pcap
$tshark -Tfields -e tcp.stream \
                -e frame.time_epoch \
                -e ip.src \
                -e tcp.srcport \
                -e ip.dst \
                -e tcp.dstport -r $file |
  sort -snu |
  while read -a f; do 
  [[ "${f[5]}" ]] || continue  # sometimes there is no stream number ex. UDP
  fileout=$(echo ${f[0]}__${f[1]}__${f[2]}__${f[3]}__${f[4]}__${f[5]} | tr -d '\r'  )
    $tshark -r $file -2R "tcp.stream == ${f[0]}" -w "$fileout.pcap"
  done
read

ফাইলের নামটি এর মতো হবে: stream number__time__source IP__port__destination IP__port.pcap

tr -d '\r' উইন্ডোজ ব্যবহারকারীদের জন্য, কারণ উইন্ডোজ আউটপুট সিআর এলএফ-এ tshark।

সম্পাদন করা :

tshark সহ এই সমাধানটি এত ধীর তবে নিশ্চিত। স্প্লিটক্যাপ অত্যন্ত দ্রুত তবে যখন কোনও প্যাকেটে কোনও ত্রুটি দেখা দেয় এটি ক্র্যাশ হয়ে যায়, যখন ত্রশর্ক আপনাকে কেবল ত্রুটি সম্পর্কে অবহিত করে তবে চালিয়ে যান:

tshark: The file "cap.pcap" appears to have been cut short in the middle of a packet.

এবং অবশেষে প্যাকাপস্প্লিটার রয়েছে যা খুব দ্রুতগতির তবে এটি উইনপ্যাক্যাপ ড্রাইভারের প্রয়োজন, এটি উইন্ডোতে এনপিসিএপ ড্রাইভারের সাথে কাজ করে না।

ব্যবহার করছে: কিন্তু SplitCap একটি সমাধান pcapfix তারপর SplitCap আবার ক্র্যাশ আমি দুর্নীতিগ্রস্ত প্যাকেট ঠিক করতে পারেন। এবং এটি আমি এখনই ব্যবহার করছি, কারণ tshark বিভাজনে এত ধীর।

এবং প্যাক্যাপস্প্লিটারের একটি সমাধান আমি যে কোনও পদ্ধতি ব্যবহার করে উইনপ্যাক্যাপ ডেল ইনজেকশন দিচ্ছিলাম কিন্তু যখন আমাদের স্প্লিটক্যাপ রয়েছে তা কেন এটি করে?