Как разделить pcap файлы, поддерживающие сеансы tcp

У меня есть файл pcap, который содержит трассировки tcp.

Мне было интересно, есть ли способ разделить эти трассировки, чтобы поддерживать потоки tcp, но также фильтровать трафик на основе src ip.

например, если в моей сети у меня есть ip-адреса, которые принадлежат 192.168.0.0 / 16, я хочу разделить трассировки на два pcaps: первый с ip от 192.168.0.0 до 192.168.127.127 и второй от 192.160.127.128 до 192.168.255.255.

в то же время, Я не хочу потерять tcp-подключения к внешним серверам.

может Wireshark сделать это?

5
задан Kevin Panko
29.03.2023 2:51 Количество просмотров материала 3454
Распечатать страницу

1 ответ

Я предлагаю использовать PcapSplitter, который является частью PcapPlusPlus люкс. Вы можете скомпилировать его код самостоятельно или скачать бинарники для нескольких платформ из здесь

вы можете использовать инструмент для достижения того, что вы хотите следующим образом:

PcapSplitter.exe -f your_file.pcap -i "net 192.168.0.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR1>

PcapSplitter.exe -f your_file.pcap -i "net 192.168.128.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR2>

каждый запуск выводит папку, содержащую файлы pcap на IP клиента-первая папка для IP-адресов клиентов в диапазоне от 192.168.0.0 до 192.168.127.255 и другая папка для IP-адресов клиентов от С 192.168.128.0 по 192.168.255.255. Затем вы можете использовать mergecap или другой инструмент для объединения файлов pcap в каждой папке, если вы хотите

2
отвечен fx23 2023-03-30 10:39

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх