मर्जकैप के साथ परेशानी [पीक फ़ाइलों का संघटन] - आउटपुट फ़ाइल में अवांछित जानकारी


0

मुझे आशा है कि कोई मेरी मदद करने में सक्षम होगा ... समस्या कई .pcap फ़ाइलों को मर्ज करने के साथ है। हाल ही में - एक हफ्ते पहले की तरह मैंने एक मर्ग का इस्तेमाल किया है ताकि म्यूटेंट पीक फाइलों को एक में मर्ज किया जा सके। सब कुछ ठीक रहा।

यहाँ है कि मैं यह कैसे करते हैं:

mergecap -w 28_30.11.dump.pcap testdump.pcap17  testdump.pcap19  testdump.pcap21  testdump.pcap23  testdump.pcap25

यहाँ है head आउटपुट फ़ाइल (दाहिने हाथ के साइड कॉलम में ASCII पर ध्यान दें):

00000000   D4 C3 B2 A1  02 00 04 00  00 00 00 00  00 00 00 00  FF FF 00 00  01 00 00 00  32 38 B3 50  7F 11 09 00  ........................28.P....
00000020   3C 00 00 00  3C 00 00 00  00 1F D0 03  A4 9C 00 25  9C 8B F5 3E  08 06 00 01  08 00 06 04  00 01 00 25  <...<..........%...>...........%
00000040   9C 8B F5 3E  01 00 00 01  00 00 00 00  00 00 01 00  00 02 00 00  00 00 00 00  00 00 00 00  00 00 00 00  ...>............................
00000060   00 00 00 00  32 38 B3 50  89 11 09 00  2A 00 00 00  2A 00 00 00  00 25 9C 8B  F5 3E 00 1F  D0 03 A4 9C  ....28.P....*...*....%...>......
00000080   08 06 00 01  08 00 06 04  00 02 00 1F  D0 03 A4 9C  01 00 00 02  00 25 9C 8B  F5 3E 01 00  00 01 39 38  .....................%...>....98
000000A0   B3 50 C6 78  05 00 57 00  00 00 57 00  00 00 00 25  9C 8B F5 3E  00 1F D0 03  A4 9C 08 00  45 00 00 49  .P.x..W...W....%...>........E..I
000000C0   8F 7F 40 00  40 11 81 50  01 00 00 02  3E E9 E9 E9  A1 5A 00 35  00 35 44 D5  9A FF 01 00  00 01 00 00  ..@.@..P....>....Z.5.5D.........

सभी महान। लेकिन ... अब जब मैं किसी भी कैप्चर की गई फ़ाइलों का उपयोग करता हूं और कमांड का उपयोग करता हूं:

mergecap -w test3.pcap testdump.pcap133 testdump.pcap134 testdump.pcap135

आउटपुट फ़ाइल में फ़ाइल के शीर्ष पर अतिरिक्त जानकारी होती है (दाईं ओर ASCII कॉलम में स्पष्ट रूप से दिखाई देती है):

00000000   0A 0D 0D 0A  98 00 00 00  4D 3C 2B 1A  01 00 00 00  FF FF FF FF  FF FF FF FF  01 00 65 00  46 69 6C 65  ........M<+...............e.File
00000020   20 63 72 65  61 74 65 64  20 62 79 20  6D 65 72 67  69 6E 67 3A  20 0A 46 69  6C 65 31 3A  20 74 65 73   created by merging: .File1: tes
00000040   74 64 75 6D  70 2E 70 63  61 70 31 33  33 20 0A 46  69 6C 65 32  3A 20 74 65  73 74 64 75  6D 70 2E 70  tdump.pcap133 .File2: testdump.p
00000060   63 61 70 31  33 34 20 0A  46 69 6C 65  33 3A 20 74  65 73 74 64  75 6D 70 2E  70 63 61 70  31 33 35 20  cap134 .File3: testdump.pcap135
00000080   0A 00 00 00  04 00 08 00  6D 65 72 67  65 63 61 70  00 00 00 00  98 00 00 00  01 00 00 00  20 00 00 00  ........mergecap............ ...

दोस्तों, मैं पूरी तरह से क्लूलेस हूँ - किसी भी सलाह (फ़ाइल से पहले कुछ बाइट्स को काटने के अलावा) बहुत सराहना की जाएगी।

OS: Backtrack 5 R2 (उबंटू व्युत्पन्न)

uname: लिनक्स z 3.2.6 # 1 एसएमपी शुक्र 17 फरवरी 10:40:05 ईएसटी 2012 आई 686 जीएनयू / लिनक्स

tcpdump संस्करण 4.3.0

libpcap संस्करण 1.0.0

अतिरिक्त जानकारी:

ls /usr/local/bin/mergecap
-rwxr-xr-x 1 root root 37572 2012-10-31 08:09 /usr/local/bin/mergecap

 ~ > md5sum /usr/local/bin/mergecap
 e7dde01867c1e3f84dc48e5dae266f67  /usr/local/bin/mergecap

यह मेरे लिए समस्या क्यों है? क्योंकि मैं अब मर्ज की गई फ़ाइल को पढ़ने में सक्षम नहीं हूं tcpdump -r। Tcpdump एक त्रुटि लौटा रहा है कि डंप फ़ाइल खराब प्रारूप में है।


क्या अतिरिक्त पाठ वास्तव में एक समस्या है? ऐसा लगता है कि यह प्रारूप का हिस्सा है और जो भी डाउनस्ट्रीम प्रोग्राम आप फ़ाइलों को पास करते हैं, उसे सही ढंग से संसाधित किया जाना चाहिए।
terdon

@terdon यह समस्या है। जब मैंने पहले दो फ़ाइलों को मर्ज किया था तो मैं नई बनाई गई Pcap फ़ाइल को पढ़ने में सक्षम था tcpdump आसानी से उपयोग कर रहा है tcpdump -r mergedfile.pcap अब, इस अतिरिक्त जानकारी के साथ tcpdump एक त्रुटि लौटा रहा है: tcpdump: bad dump file format
mnmnc

इसके अलावा, आप यह क्यों कहते हैं कि पहले n काटने को ट्रिम करना एक विकल्प नहीं है? यही मैंने सुझाया होगा।
user1301428

@ user1301428 क्योंकि यह कुछ ऐसा नहीं है जो मैं एक बार करूंगा। मैं एक बड़ी परियोजना पर काम कर रहा हूं जिसमें फाइलों और पठन की उच्च स्वचालित प्रक्रिया शामिल होगी। चूँकि मुझे फ़ाइल से निकालने के लिए बाइट्स की संख्या फ़ाइल नाम की फ़ाइल लंबाई और मर्ज होने वाली फ़ाइलों की संख्या पर बहुत निर्भर करती है - यह सिर्फ एक विकल्प नहीं है।
mnmnc

क्या करता है tcpdump -h प्रिंट? जैसा tcpdump Pcap-ng फ़ाइल नहीं पढ़ सकता है mergecap यह शायद रिपोर्ट नहीं करता है libpcap version 1.1.0, या 1.1.0 के रूप में libpcap का बाद का संस्करण, और बाद में कुछ pcap-ng फ़ाइलें पढ़ सकता है, इसलिए a tcpdump 1.1.0 या बाद का उपयोग करके उन्हें पढ़ सकते हैं।

जवाबों:


1

मुझे लगता है कि आपने कुछ अजीब किया होगा, यह मेरे लिए पूरी तरह से अच्छा काम करता है:

$ head oo.pcap.merged | hexdump -C


00000000  0a 0d 0d 0a 84 00 00 00  4d 3c 2b 1a 01 00 00 00  |........M<+.....|
00000010  ff ff ff ff ff ff ff ff  01 00 52 00 46 69 6c 65  |..........R.File|
00000020  20 63 72 65 61 74 65 64  20 62 79 20 6d 65 72 67  | created by merg|
00000030  69 6e 67 3a 20 0a 46 69  6c 65 31 3a 20 61 61 61  |ing: .File1: aaa|
00000040  61 2e 70 63 61 70 20 0a  46 69 6c 65 32 3a 20 62  |a.pcap .File2: b|
00000050  62 62 62 62 2e 70 63 61  70 20 0a 46 69 6c 65 33  |bbbb.pcap .File3|
00000060  3a 20 63 63 63 63 63 2e  70 63 61 70 20 0a 00 00  |: ccccc.pcap ...|
00000070  04 00 08 00 6d 65 72 67  65 63 61 70 00 00 00 00  |....mergecap....|

इसलिए, यह आपके द्वारा वर्णित उसी व्यवहार को प्रदर्शित कर रहा है, लेकिन तब जब मैं फ़ाइल पर tcpdump का उपयोग करने की कोशिश करता हूं, तो यह साबित हो सकता है:

$ tcpdump -r oo.pcap.merged | head
reading from file oo.pcap.merged, link-type EN10MB (Ethernet)

और फिर 369 लाइनों के लिए सामान्य रूप से जारी रहता है।

tcpdump संस्करण 4.3.0

मर्जेकैप 1.8.0


अरे, मदद करने की कोशिश करने के लिए धन्यवाद। मुझे एक समाधान मिला है - मुझे लगता है कि आप अलग-अलग संस्करण का उपयोग कर रहे हैं या अंतर इसलिए है क्योंकि लिनक्स डिस्ट्रो अंतर है। किसी भी तरह से मेरे tcpdump ने pcap फ़ाइल की शुरुआत में फ़ाइल लिस्टिंग के साथ फ़ाइलों को नहीं पढ़ा है।
mnmnc

0

ठीक। मैंने इसका हल ढूंढ लिया है लेकिन इसका कारण नहीं है।

मैं इसे इस दुर्भाग्य के भविष्य के 'पीड़ितों' के लिए साझा करूँगा;)

के तौर पर संकेत मैं उसे जोड़ दूंगा: हाल ही में मैंने किया है apt-get update & upgrade जो किसी तरह मेरी प्रणाली को प्रभावित कर सकता है, लेकिन पूरी तरह से ईमानदार होने के लिए मुझे नहीं पता है कि यह कैसे और क्यों मर्जकैप को प्रभावित करता है।

समाधान निर्दिष्ट करना है mergecap आउटपुट फ़ाइल प्रकार मैन्युअल रूप से। डिफ़ॉल्ट रूप से यह libpcap होना चाहिए लेकिन यह मेरा संस्करण लगता है mergecap अचानक आउटपुट फ़ाइल के अन्य प्रकार पर स्विच किया गया और डिफ़ॉल्ट रूप से अन्य प्रकार का उपयोग किया गया।

तो अगर मैं उपयोग करता हूं mergecap -F libpcap -w out.pcap test1.pcap test2.pcap अब - यह सब ठीक काम करता है। आउटपुट फ़ाइल की शुरुआत में कोई फ़ाइल लिस्टिंग या अतिरिक्त जानकारी नहीं है और tcpdump फ़ाइल को सही ढंग से पढ़ता है - हुर्रे!


Wireshark के नए संस्करण डिफ़ॉल्ट रूप से आउटपुट फ़ाइल के रूप में "अन्य प्रकार की आउटपुट फ़ाइल" (pcap-ng) का समर्थन करते हैं सब कार्यक्रम। शायद मर्जकैप चाहिए, यदि सभी इनपुट फाइलें एक ही प्रकार की फ़ाइल हैं, तो आउटपुट फ़ाइल प्रारूप के रूप में भी इसका उपयोग करें।

0

"Ia 0d 0d 0a" pcapng प्रारूप हैडर है। दूसरी फ़ाइल pcapng प्रारूप है।

मर्जकैप या तो pcap या pcapng प्रारूप फ़ाइलों को स्वीकार करता है। अद्यतन किए गए परिवाद अपराधी की तरह दिखते हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.