2013-03-12

Seccionando los Archivos CAP

Siempre que uno tiene que hacer una análisis de tráfico y captura los archivos .cap estos quedan usualmente de unos tamaños enormes, lo cual los hace inmanejables para analizarlos con wireshark o cualquier otra herramienta para análisis de este tipo de archivos, sin embargo Linux siempre nos da una opción para solucionar nuestro problema.

Existe un paquete llamado editcap, cuyo nombre es más que disiente y permite dividir o seccionar un archivo cap en varios archivos ya sea por tiempo o dividirlo en x cantidad de paquetes,  la estructura básica del comando es la siguiente:

root@localhost:# editcap [opciones] dump_original dump_sec

Ya con la base del comando clara podemos ver unos ejemplos

1. Seccionar usando una muestra de tiempo

Si la captura original es muy larga es posible seccionarla en tiempos cortos, contando por segundos. El ejemplo del comando es así

root@localhost:# editcap -t 20 dump_original dump_sec

siendo el 20 los segundos de cada archivo creado


2. Seccionar por tamaño de archivo

Puedes generar segmentos de un tamaño especifico en bytes con el siguiente comando

root@localhost:# editcap -s 64 dump_original dump_sec

Siendo el 64 el tamaño en bytes que va a quedar cada segmento


3. Seccionar por cantidad de paquetes

Puedes generar segmentos según la cantidad de paquetes capturados en cada uno

root@localhost:# editcap -c 500 dump_original dump_sec

Siendo el 500 la cantidad de paquetes que quedara en cada captura


4. Extraer paquetes específicos

Es posible que en el archivo resultado solo contener unos paquetes específicos del original, esto de la siguiente forma

root@localhost:# editcap -r dump_original dump_sec 1 5 10-20 50 55

Siendo los números en el comando los paquetes que se extraen del original


5. Cambiar el tipo del archivo

Es posible que le modifiques el tipo del archivo de la captura, para usarlo con otro tipo de herramientas de análisis

root@localhost:# editcap -F Snoop dump_original.cap dump_sec.snoop


Toda esta información esta disponible en varios sitios que la mayoría están en Ingles y esa fue la principal razón de hace reste post. Les dejo algunos enlaces

http://www.wireshark.org/docs/man-pages/editcap.html
http://www.thegeekstuff.com/2009/02/editcap-guide-11-examples-to-handle-network-packet-dumps-effectively/
http://docs.huihoo.com/wireshark/1.0.0/user-guide/AppToolseditcap.html

Espero que esto les sirva.