capinfosдаWiresharkОдин из инструментов командной строки, установленный по умолчанию.,Судя по названию, оно соответствует своему названию.,В основном используется для отображения информации о файлах перехвата пакетов.,Например, формат файла, количество пакетов、Временной диапазон (первый и последний пакет)、Тип пакета и т. д.
Сценарии использования примерно следующие:
В этой статье будут подробно представлены варианты использования capinfos.
Дистрибутив | Команда установки |
---|---|
Archlinux | pacman -Sy wireshark-cli |
CentOS/Redhat | yum install -y wireshark |
Debian/Ubuntu | apt install -y wireshark |
Gentoo | emerge --ask wireshark |
После установки Wireshark,capinfosПо умолчанию вwiresharkПуть установки:
Другие вспомогательные команды также находятся по этому пути:
Вы можете выбрать, добавить ли путь к переменной среды или использовать его непосредственно под путем.
Предварительное условие: должен быть установлен homebrew.
Установите Wireshark с помощью доморощенного продукта,По умолчанию это также будетcapinfosУстановите его:
brew install wireshark
brew install wireshark-chmodbpf
Если никакие параметры не указаны, параметр -A будет заключен в кавычки по умолчанию и будут выведены все информационные поля.
capinfos <имя файла>
Эта информация находится вWiresharkизСтатистика --> Захват свойств файла (Захват File Properties)Есть и то же самоеизвыход:
Значение каждого поля на самом деле написано очень четко. Если вам не нужна точная фильтрация, ваши потребности действительно удовлетворены. Если вам нужен более точный контроль и более широкое использование, продолжайте читать ниже.
-tПоказать захватфайл пакетаизтип формата,Суффикс файла может не совпадать с типом формата файла при фактическом сохранении.,Суффикс можно изменить произвольно, изменив суффикс имени файла.,-tпараметр Затем проанализируйте фактическоеизформат внедрения файла,Вместо анализа суффикса файла:
capinfos -t <имя файла>
Например, приведенный выше пример,Файл http-1.txt заканчивается суффиксом txt.,Фактический формат файла — pcapng.,Команда file также может одновременно проверить формат, используемый для хранения файлов;,Используйте подстановочный знак *, чтобы сопоставить все файлы в текущем каталоге.,вsum.pcap、sum.pcapngДва файла имеют одну дополнительную строку:Packet size limit: inferred: 60bytes,Эта строка представляет собой предполагаемую длину кадра данных в файле пакета.,Эти два файла на самом деледапроходитьmergecap -s 60Чтобы усечь, объединить и сохранитьиз。
Этот параметр отображает протокол инкапсуляции, используемый канальным уровнем. Обычно также может отображаться Ethernet. cooked-mode захват, как для Linux cooked-mode captureда Что,Вы можете обратиться к тому, что написал автор.изЭта статья。Проще говоря,это виртуальный протокол,При указании устройства захвата пакетов как all при перехвате пакетов в Linux (-i) могут возникнуть любые ситуации.
Например, следующий случай:
capinfos -E <имя файла>
Протоколы канального уровня 1.pcap и 2.pcap являются Ethernet, а предполагаемая длина (предполагаемый) размер кадра данных в файле пакета составляет 192 байта. Протокол канального уровня http-2.pcap — Linux. cooked-mode capture,Из-за этой сумкидапроходитьtcpdump -i any
поймать и сохранитьиз。
Опция -I может помочь понять источник пакетов данных в файле захвата пакетов, например сетевые интерфейсы, протоколы канального уровня и т. д.:
capinfos -I <имя файла>
Также отображается подробная информация, такая как общий объем упаковки, точность времени, длина захвата и т. д.
Эта опция отображает как можно больше дополнительной информации о захваченных файлах пакетов, которую можно идентифицировать, например точность времени, предполагаемую длину каждого кадра данных в файле пакета, версию программы захвата пакетов, используемую при захвате пакетов, и Используемая операционная система:
capinfos -F <имя файла>
Этот параметр эквивалентен инструментам слияния и вывода, таким как sha256sum, sha1sum иripemd160, используемым для расчета хеш-значений файлов, что полезно для проверки согласованности файлов и предотвращения подделки файлов перехвата пакетов:
capinfos -H <файл пакета>
Эта опция печатает количество кадров в файле пакета:
capinfos -c <имя файла>
Соответствует странице Wireshark Статистика --> Захват свойств файла (Захват File Properties),Также есть такая информация:
Размер файла статистического пакета в байтах:
capinfos -s <имя файла>
Как показано на картинке,File sizeЭто поле размера файла,Если файл слишком велик, преобразование единиц измерения будет выполнено автоматически.
Общий размер длины всех пакетов в файле статистического пакета:
capinfos -d <имя файла>
Возьмем http-2.pcap в качестве примера.,Статистический размер 726 байт.,мы проходимtsharkположить каждый пакетизframe.lenЗначения полей выводятся,И используйте awk для накопления,Ровно 726 байт:
tshark -n -r <имя файла> -T fields -E header=y -e 'ip.src' -e 'ip.dst' -e 'frame.len'|column -t|awk 'NR>1{sum+=$NF}END{print sum}'
Эта опция отображает предельный размер (файл hdr) при захвате файла пакета и предполагаемую длину (предполагаемую) фрейма данных в файле пакета:
capinfos -l <имя файла>
Значение вывода следующее:
File name: 1.pcap
Packet size limit: file hdr: 2048 bytes #Максимальная длина захвата пакета для каждого кадра, установленного при захвате пакета
Packet size limit: inferred: 192 bytes #Длина определяется на основе кадров в файле пакета
File name: 2.pcap
Packet size limit: file hdr: 2048 bytes #Максимальная длина захвата пакета для каждого кадра, установленного при захвате пакета
Packet size limit: inferred: 192 bytes #Длина определяется на основе кадров в файле пакета
File name: http-2.pcap
Packet size limit: file hdr: (not set) #без ограничений
В секундах отобразить продолжительность статистического захвата пакетов:
capinfos -u <имя файла>
В качестве примера возьмем 1.pcap. Как показано на рисунке выше, временной интервал статистики -u составляет 2466,796133 секунды. Сначала мы получаем общий размер файла пакета с помощью опции -I:
capinfos -I <имя файла>
Сумма пакета — 1911713, что означает, что номер последнего кадра — 1911713. В это время используйте tshark, чтобы увидеть временной интервал между последним кадром и первым кадром:
tshark -n -r <имя файла> -t r -Y 'frame.number==xxx'
Выходной результат составляет 2466,796133 секунды, что соответствует ожиданиям. Таким образом, можно ясно понять, что статистический метод -u на самом деле представляет собой разницу во времени последнего пакета минус первый пакет.
Этот параметр не нужно вводить слишком много:
capinfos -a <имя файла>
Есть много способов проверить время начала захвата пакетов, например, вывод времени первого кадра через tshark:
tshark -n -r <имя файла> -t ud -Y 'frame.number==1'
-t ud учитывает время UTC, поэтому для получения пекинского времени оно должно быть +8.
В свойствах файла захвата Wireshark вы также можете увидеть время первого и последнего пакета:
начать с(-a)относительноиз Тогда это-eОтображение времени окончания захвата пакетов,Фактически это время и дата статистики последнего пакета:
capinfos -e <файл пакета>
Как показано на рисунке, если вы используете tshark для подсчета времени UTC хвостового пакета, а затем прибавляете 8, вы можете получить тот же результат.
-a и -e можно использовать вместе для отображения как времени начала, так и времени окончания:
capinfos -a -e <файл пакета>
Если порядок кадров данных не соответствует строго хронологическому порядку, он будет оценен как ложный, в противном случае он будет оценен как истинный:
capinfos -o <имя файла>
В качестве примера возьмем следующий пример:
Порядок пакетов sum-desc.pcap,Не отсортировано строго по абсолютному времени,-oПараметрыидентифицирован какFalse:
С другой стороны, порядок пакетов sum.pcap строго отсортирован по абсолютному времени и признан True:
В пути также есть 1.pcap и 2.pcap, которые распознаются как False:
Об этом также можно судить по временной метке,tsharkФормат времени установлен на-t d(deltaвремя,интервал времени относительно предыдущего кадра),Если возникает отрицательное значение,Это означает, что последовательность пакетов неправильная (то есть: они явно были получены раньше.,Но отсортировано позже):
Таким образом, -o оценивается как False.
Единица вывода — байт/сек:
capinfos -y <имя файла>
Data byte rateПоле — передача данныхизсредняя ставка。
Единицы вывода — бит в секунду (бит/сек).,Тогда это-iПараметры:
capinfos -i <имя файла>
По умолчанию в байтах:
capinfos -z <имя файла>
Average packet sizeполе для каждого кадраизсредний размер。
Единица измерения — пакет в секунду:
capinfos -x <имя файла>
Статистическая логика также очень проста: средняя скорость пакетов = общий объем пакетов / общее время, например sum.pcap:
Параметры | значение |
---|---|
-L | Создать отчет о росте, поведение по умолчанию |
-T | Генерировать в табличной форме |
-M | Отображать машиночитаемые значения в длинных отчетах |
стоит поговорить оизда-Tпараметр,-TНиже также представлен ряд подпараметров.Параметры:
Параметры | значение |
---|---|
-R | Создание записей заголовков, поведение по умолчанию |
-r | Не создавать записи заголовков |
-B | Используйте символ TAB для разделения полей, поведение по умолчанию. |
-m | Используйте запятые (,) для разделения полей. |
-b | Используйте пробелы для разделения полей |
-N | Не цитировать информацию, поведение по умолчанию |
-q | Используйте одинарные кавычки для цитирования информации |
-Q | Используйте двойные кавычки для цитирования информации |
-TДальнейшие действия можно корректировать по мере необходимости.,Если вам нужно прочитать много информации о упаковке за один раз,Рассмотрите возможность перенаправления выходного содержимого в файл Excel.,например:
capinfos -T <имя файла> > output.xlsx
Эффект открытия с помощью Excel:
Поля вывода содержат всю информацию,Потому что я не подобрал никаких других параметров.,По умолчанию — -А,То есть выводим всю информацию:
В сочетании с упомянутыми выше параметрами вы можете использовать их в любой комбинации, например, для отображения объема пакета, типа файла, хеш-значения, продолжительности захвата пакета и средней скорости передачи, которые могут быть:
capinfos -c -t -H -u -y -T <имя файла> > output.xlsx
Поля вывода на данный момент такие, какие мы хотим:
В этой статье описывается использование capinfos и примеры его практического применения, а также анализ использования всех важных параметров. Если нет особых потребностей, самый быстрый и эффективный способ не добавлять какие-либо параметры. В то же время capinfos — это практичный инструмент командной строки в пакете Wireshark, который удобен для быстрого просмотра метаданных файлов захвата пакетов (включая, помимо прочего, pcap, pcapng и т. д.), включая тип файла, канал передачи данных. тип слоя, количество пакетов, размер файлов, продолжительность захвата и т. д., что помогает быстро определить, охватывает ли захваченный файл пакета аномальный момент времени.
Поставляется с PDF-версией: