pcap包常见拆分方法
文章目录
- Wireshark 拆分流量包
- SplitCap使用简介
- 魔数报错
- 示例结果
在进行流量分析时,经常需要分析pcap流量包。但是体积过大的流量包不容易直接分析,经常需要按照一定的规则把它拆分成小的数据包。
这里统一选择cic数据集里的Thursday-WorkingHours.pcap包作为测试。
Wireshark 拆分流量包
Wireshark有很多功能,是捕获和分析网络流量的利器。这里不多说其他的功能,单单说一说它的拆分pcap包的功能。
- 在菜单栏中“文件”中选择
- 选择过滤规则和导出规则
因为是图形化界面操作,所以整个过程还是非常简单的。
SplitCap使用简介
SplitCap是一个命令行工具,从它的名字就可以看出来,它的主要功能就是拆分流量包,下面简单展示一下SplitCap的用法。
首先需要从官网上下载分割工具SplitCap,下载完后直接就是exe可执行文件,可以直接使用。
SplitCap官网:https://www.netresec.com/index.ashx?page=SplitCap
官网给的使用教程:
这里简单介绍一下命令行参数意义:
- -r:源文件路径
- -o:输出文件夹目录。如果为空,就为当前路径下生成与源文件名称一样的文件夹
- -s:选择划分方式
- -ip:ip过滤器
- -port:端口过滤器
更多参数信息可以直接去官网查看。
举例:
选择划分方法:flow。按照五元组(源端口号、目的端口号、协议号、源IP、目的IP)对流量包进行划分,也就是按流进行划分。
PS E:\data> .\SplitCap.exe -r Thursday-WorkingHours.pcap -s flow
魔数报错
有时候会出现这样的报错信息:
原因出在magic number上,报错信息显示原始pcap包的magic number是0xA0D0D0A,在网上查了一下,这是pcapng的magic number,而SplitCap不能处理pcapng,只能处理pcap,因此报错。
解决办法:修改后缀名,把pcap先变为pcapng,再用tshark转换成pcap包,
tshark -F pcap -r Thursday-WorkingHours.pcapng -w Thursday-WorkingHours.pcap
就可以正常分割了。
示例结果
划分结果:
