Как разделить файлы pcap, сохраняя tcp сессии

Question

Как разделить файлы pcap, сохраняя tcp сессии

У меня есть файл pcap, который содержит следы TCP.

Мне было интересно, есть ли способ разделить эти трассы, чтобы поддерживать потоки tcp, но также и фильтровать трафик на основе src ip.

Например, если в моей сети есть IP-адреса, принадлежащие 192.168.0.0/16, я хочу разделить трассы на два pcaps: первый с ip с 192.168.0.0 до 192.168.127.127 и второй с 192.160.127.128 до 192.168.255.255.

В то же время я не хочу терять TCP-соединения с внешними серверами.

Может ли Wireshark сделать это?

2

networking tcp wireshark tcpdump pcap

Источник

user3098549 07 янв '15 в 09:28

1 ответ

Другие вопросы по тегам networking tcp wireshark tcpdump pcap

fx23 13 сен '16 в 08:40 2016-09-13 08:40 · Answer 1 · 2016-09-13 08:40

Я предлагаю использовать PcapSplitter, который является частью пакета PcapPlusPlus . Вы можете скомпилировать его код самостоятельно или скачать бинарные файлы для нескольких платформ отсюда

Вы можете использовать инструмент для достижения того, что вы хотите следующим образом:

PcapSplitter.exe -f your_file.pcap -i "net 192.168.0.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR1>

PcapSplitter.exe -f your_file.pcap -i "net 192.168.128.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR2>

При каждом запуске будет выводиться папка, содержащая файлы pcap для каждого IP-адреса клиента - первая папка для IP-адресов клиентов в диапазоне от 192.168.0.0 до 192.168.127.255 и другая папка для IP-адресов клиентов в диапазоне от 192.168.128.0 до 192.168.255.255. Затем вы можете использовать mergecap или другой инструмент для объединения файлов pcap в каждой папке, если хотите