So teilen Sie PCAP-Dateien auf, während Sie TCP-Sitzungen verwalten

901
user3098549

Ich habe eine pcap-Datei, die TCP-Spuren enthält.

Ich habe mich gefragt, ob es eine Möglichkeit gibt, diese Spuren aufzuteilen, um die TCP-Flüsse aufrechtzuerhalten, aber auch den Verkehr auf der Basis von IP-Adressen zu filtern.

Wenn in meinem Netzwerk beispielsweise IP-Adressen vorhanden sind, die zu 192.168.0.0/16 gehören, möchte ich die Spuren in zwei pcaps aufteilen: die erste mit ip von 192.168.0.0 auf 192.168.127.127 und die zweite von 192.160.127.128 auf 192.168.255.255.

Gleichzeitig möchte ich keine TCP-Verbindungen zu externen Servern verlieren.

Kann Wireshark das tun?

2

1 Antwort auf die Frage

2
fx23

Ich empfehle die Verwendung von PcapSplitter, der Teil der PcapPlusPlus- Suite ist. Sie können den Code selbst kompilieren oder von hier aus Binärdateien für verschiedene Plattformen herunterladen

Die können Sie mit dem Tool wie folgt erreichen:

PcapSplitter.exe -f your_file.pcap -i "net 192.168.0.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR1>  PcapSplitter.exe -f your_file.pcap -i "net 192.168.128.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR2>

Bei jedem Lauf wird ein Ordner mit pcap-Dateien pro Client-IP ausgegeben. Der erste Ordner für Client-IPs reicht von 192.168.0.0 bis 192.168.127.255 und der andere Ordner für Client-IPs von 192.168.128.0 bis 192.168.255.255. Sie können dann mit mergecap oder einem anderen Tool die pcap-Dateien in jedem Ordner zusammenführen, wenn Sie möchten

Verwandte Probleme