Como dividir arquivos pcap mantendo sessões tcp

Question

Como dividir arquivos pcap mantendo sessões tcp

#1 resposta do (2 votos)

2

Eu tenho um arquivo pcap que contém rastreios tcp.

Eu queria saber se há uma maneira de dividir esses rastreamentos para manter os fluxos tcp, mas também filtrar o tráfego em uma base src ip.

Por exemplo, se na minha rede eu tenho endereços IP que pertencem a 192.168.0.0/16, eu quero dividir os traços em dois pcaps: o primeiro com ip de 192.168.0.0 a 192.168.127.127 e o segundo de 192.160 .127.128 a 192.168.255.255.

Ao mesmo tempo, não quero perder conexões tcp para servidores externos.

O Wireshark pode fazer isso?

networking wireshark tcpdump tcp pcap

por user3098549 07.01.2015 / 10:28

1 resposta

Tags networking wireshark tcpdump tcp pcap

Como posso filtrar quais colunas serão mostradas em uma planilha? Como posso parar os aplicativos sabendo que o volume do sistema foi ajustado?

score 2 · Answer 1

Eu sugiro usar o PcapSplitter, que faz parte do pacote PcapPlusPlus . Você pode compilar seu código sozinho ou baixar binários para várias plataformas em aqui

Você pode usar a ferramenta para obter o que deseja da seguinte forma:

PcapSplitter.exe -f your_file.pcap -i "net 192.168.0.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR1>

PcapSplitter.exe -f your_file.pcap -i "net 192.168.128.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR2>

Cada execução gerará uma pasta contendo arquivos pcap por IP do cliente - a primeira pasta para IPs do cliente que varia de 192.168.0.0 a 192.168.127.255 e a outra pasta para IPs de cliente que varia de 192.168.128.0 a 192.168.255.255. Então você pode usar o mergecap ou outra ferramenta para mesclar os arquivos pcap em cada pasta, se você quiser