Siempre que uno tiene que hacer una análisis de tráfico y captura los archivos .cap estos quedan usualmente de unos tamaños enormes, lo cual los hace inmanejables para analizarlos con wireshark o cualquier otra herramienta para análisis de este tipo de archivos, sin embargo Linux siempre nos da una opción para solucionar nuestro problema.
Existe un paquete llamado editcap, cuyo nombre es más que disiente y permite dividir o seccionar un archivo cap en varios archivos ya sea por tiempo o dividirlo en x cantidad de paquetes, la estructura básica del comando es la siguiente:
root@localhost:# editcap [opciones] dump_original dump_sec
Ya con la base del comando clara podemos ver unos ejemplos
1. Seccionar usando una muestra de tiempo
Si la captura original es muy larga es posible seccionarla en tiempos cortos, contando por segundos. El ejemplo del comando es así
root@localhost:# editcap -t 20 dump_original dump_sec
siendo el 20 los segundos de cada archivo creado
2. Seccionar por tamaño de archivo
Puedes generar segmentos de un tamaño especifico en bytes con el siguiente comando
root@localhost:# editcap -s 64 dump_original dump_sec
Siendo el 64 el tamaño en bytes que va a quedar cada segmento
3. Seccionar por cantidad de paquetes
Puedes generar segmentos según la cantidad de paquetes capturados en cada uno
root@localhost:# editcap -c 500 dump_original dump_sec
Siendo el 500 la cantidad de paquetes que quedara en cada captura
4. Extraer paquetes específicos
Es posible que en el archivo resultado solo contener unos paquetes específicos del original, esto de la siguiente forma
root@localhost:# editcap -r dump_original dump_sec 1 5 10-20 50 55
Siendo los números en el comando los paquetes que se extraen del original
5. Cambiar el tipo del archivo
Es posible que le modifiques el tipo del archivo de la captura, para usarlo con otro tipo de herramientas de análisis
root@localhost:# editcap -F Snoop dump_original.cap dump_sec.snoop
Toda esta información esta disponible en varios sitios que la mayoría están en Ingles y esa fue la principal razón de hace reste post. Les dejo algunos enlaces
http://www.wireshark.org/docs/man-pages/editcap.html
http://www.thegeekstuff.com/2009/02/editcap-guide-11-examples-to-handle-network-packet-dumps-effectively/
http://docs.huihoo.com/wireshark/1.0.0/user-guide/AppToolseditcap.html
Espero que esto les sirva.
root@localhost:# editcap -s 64 dump_original dump_sec
Siendo el 64 el tamaño en bytes que va a quedar cada segmento
3. Seccionar por cantidad de paquetes
Puedes generar segmentos según la cantidad de paquetes capturados en cada uno
root@localhost:# editcap -c 500 dump_original dump_sec
Siendo el 500 la cantidad de paquetes que quedara en cada captura
4. Extraer paquetes específicos
Es posible que en el archivo resultado solo contener unos paquetes específicos del original, esto de la siguiente forma
root@localhost:# editcap -r dump_original dump_sec 1 5 10-20 50 55
Siendo los números en el comando los paquetes que se extraen del original
5. Cambiar el tipo del archivo
Es posible que le modifiques el tipo del archivo de la captura, para usarlo con otro tipo de herramientas de análisis
root@localhost:# editcap -F Snoop dump_original.cap dump_sec.snoop
Toda esta información esta disponible en varios sitios que la mayoría están en Ingles y esa fue la principal razón de hace reste post. Les dejo algunos enlaces
http://www.wireshark.org/docs/man-pages/editcap.html
http://www.thegeekstuff.com/2009/02/editcap-guide-11-examples-to-handle-network-packet-dumps-effectively/
http://docs.huihoo.com/wireshark/1.0.0/user-guide/AppToolseditcap.html
Espero que esto les sirva.
Comentarios
Publicar un comentario