做调查报告的网站,cdn如何做网站备案,网站优化怎么看,济南网站建设cnwenhui文章目录 Wireshark 拆分流量包SplitCap使用简介魔数报错示例结果 在进行流量分析时#xff0c;经常需要分析pcap流量包。但是体积过大的流量包不容易直接分析#xff0c;经常需要按照一定的规则把它拆分成小的数据包。 这里统一选择cic数据集里的Thursday-WorkingHours.pcap… 文章目录 Wireshark 拆分流量包SplitCap使用简介魔数报错示例结果 在进行流量分析时经常需要分析pcap流量包。但是体积过大的流量包不容易直接分析经常需要按照一定的规则把它拆分成小的数据包。 这里统一选择cic数据集里的Thursday-WorkingHours.pcap包作为测试。
Wireshark 拆分流量包
Wireshark有很多功能是捕获和分析网络流量的利器。这里不多说其他的功能单单说一说它的拆分pcap包的功能。
在菜单栏中“文件”中选择 选择过滤规则和导出规则 因为是图形化界面操作所以整个过程还是非常简单的。
SplitCap使用简介
SplitCap是一个命令行工具从它的名字就可以看出来它的主要功能就是拆分流量包下面简单展示一下SplitCap的用法。
首先需要从官网上下载分割工具SplitCap下载完后直接就是exe可执行文件可以直接使用。
SplitCap官网https://www.netresec.com/index.ashx?pageSplitCap
官网给的使用教程 这里简单介绍一下命令行参数意义
-r源文件路径-o输出文件夹目录。如果为空就为当前路径下生成与源文件名称一样的文件夹-s选择划分方式-ipip过滤器-port端口过滤器
更多参数信息可以直接去官网查看。
举例
选择划分方法flow。按照五元组源端口号、目的端口号、协议号、源IP、目的IP对流量包进行划分也就是按流进行划分。
PS E:\data .\SplitCap.exe -r Thursday-WorkingHours.pcap -s flow魔数报错
有时候会出现这样的报错信息 原因出在magic number上报错信息显示原始pcap包的magic number是0xA0D0D0A在网上查了一下这是pcapng的magic number而SplitCap不能处理pcapng只能处理pcap因此报错。
解决办法修改后缀名把pcap先变为pcapng再用tshark转换成pcap包
tshark -F pcap -r Thursday-WorkingHours.pcapng -w Thursday-WorkingHours.pcap就可以正常分割了。 示例结果
划分结果
