我需要将 TCP 会话从pcap文件改组到新文件。我该怎么做?以下脚本对我不起作用。
要使用 Tshark 或 Wireshark 混合pcap文件中的会话,可以使用以下步骤:
将原始
pcap文件重命名为其他名称(可选):此步骤不是必需的,但可以帮助跟踪原始 pcap 文件。您可以使用以下命令来重命名该文件:mv original.pcap original_original.pcap使用 Tshark 从原始 pcap 文件中提取各个会话:使用 Tshark 将原始 pcap 文件中的各个会话提取到单独的 pcap 文件中,如下所示:
tshark -r original_original.pcap -Y "tcp.stream == X" -w session_X.pcap替换
X为所需的会话号。对要提取的每个会话重复此命令,并X相应递增。混合提取的 pcap 文件:使用 bash 脚本将提取的 pcap 文件随机连接到新的混合 pcap 文件中。下面是一个示例脚本 (
mixup_pcap.sh),它使用该shuf命令随机打乱文件名,然后将它们附加到新文件中:#!/bin/bash output_pcap="mixed_sessions.pcap" session_files=(session_*.pcap) # Randomly shuffle the session files shuffled_files=($(shuf -e "${session_files[@]}")) # Concatenate the shuffled pcap files into a new mixed-up pcap file for file in "${shuffled_files[@]}"; do cat "$file" >> "$output_pcap" done echo "Mixed-up pcap file created: $output_pcap"将以上脚本保存到
mixup_pcap.sh,使用 使其可执行chmod +x mixup_pcap.sh,然后使用 运行它./mixup_pcap.sh。分析混合pcap文件:您可以
mixed_sessions.pcap在Wireshark中打开生成的混合pcap文件( )或使用Tshark对其进行进一步分析。
注意:确保您的系统上安装了 Tshark 才能执行上述步骤。
要使用 Tshark 或 Wireshark 混合pcap文件中的会话,可以使用以下步骤:
将原始 pcap 文件重命名为其他名称(可选):此步骤不是必需的,但可以帮助跟踪原始 pcap 文件。您可以使用以下命令来重命名该文件:
mv original.pcap original_original.pcap使用 Tshark从原始
pcap文件中提取单个会话:使用 Tshark 将原始pcap文件中的单个会话提取到单独的 pcap 文件中,如下所示:tshark -r original_original.pcap -Y "tcp.stream == X" -w session_X.pcap替换
X为所需的会话号。对要提取的每个会话重复此命令,并X相应递增。混合提取的
pcap文件:使用 bash 脚本将提取的 pcap 文件随机连接成一个新的混合 pcap 文件。下面是一个示例脚本 (mixup_pcap.sh),它使用该shuf命令随机打乱文件名,然后将它们附加到新文件中:#!/bin/bash output_pcap="mixed_sessions.pcap" session_files=(session_*.pcap) # Randomly shuffle the session files shuffled_files=($(shuf -e "${session_files[@]}")) # Concatenate the shuffled pcap files into a new mixed-up pcap file for file in "${shuffled_files[@]}"; do cat "$file" >> "$output_pcap" done echo "Mixed-up pcap file created: $output_pcap"将以上脚本保存到
mixup_pcap.sh,使用 使其可执行chmod +x mixup_pcap.sh,然后使用 运行它./mixup_pcap.sh。分析混合pcap文件:您可以
mixed_sessions.pcap在Wireshark中打开生成的混合pcap文件( )或使用Tshark对其进行进一步分析。
注意:确保您的系统上安装了 Tshark 才能执行上述步骤。