pcapファイルのTCPセッションを新しいpcapファイルに混在させる

tag-icon tag-icon bash tshark pcap
pcapファイルのTCPセッションを新しいpcapファイルに混在させる

pcapファイルから新しいファイルへのTCPセッションを混在させる必要があります。どうすればいいですか?次のスクリプトは私には機能しません。

Tshark または Wireshark 混合ファイルのセッションを使用するには、pcap次の手順に従います。

  1. 元のpcapファイルの名前を別の名前に変更する(オプション):この手順は必須ではありませんが、元のpcapファイルを追跡するのに役立ちます。次のコマンドを使用してファイル名を変更できます。

    mv original.pcap original_original.pcap

  2. Tsharkを使用して、元のpcapファイルから個々のセッションを抽出します。 Tshark を使用して、ソース pcap ファイルから個々のセッションを次のように別の pcap ファイルに抽出します。

    tshark -r original_original.pcap -Y "tcp.stream == X" -w session_X.pcap

    X希望のセッション番号に変更してください。抽出する各セッションに対してこのコマンドを繰り返し、Xそれに応じてインクリメントします。

  3. 抽出されたpcapファイルの混合:bashスクリプトを使用して、抽出されたpcapファイルをランダムに新しい混合pcapファイルにリンクします。以下は、mixup_pcap.shこのshufコマンドを使用してファイル名をランダムに混合し、新しいファイルに追加するサンプルスクリプト()です。

    #!/bin/bash
output_pcap="mixed_sessions.pcap"
session_files=(session_*.pcap)

# Randomly shuffle the session files
shuffled_files=($(shuf -e "${session_files[@]}"))

# Concatenate the shuffled pcap files into a new mixed-up pcap file
for file in "${shuffled_files[@]}"; do
    cat "$file" >> "$output_pcap"
done

echo "Mixed-up pcap file created: $output_pcap"

    上記のスクリプトを に保存し、 を使用してmixup_pcap.sh実行可能にし、 を使用してchmod +x mixup_pcap.sh実行します./mixup_pcap.sh

  4. 混合pcapファイルの分析:mixed_sessions.pcap生成された混合pcapファイルをWireshark()で開くか、またはTsharkを使用してさらに分析できます。

注:上記の手順を実行するには、システムにTsharkがインストールされていることを確認してください。

Tshark または Wireshark 混合ファイルのセッションを使用するには、pcap次の手順に従います。

  1. 元のpcapファイルの名前を別の名前に変更する(オプション):この手順は必須ではありませんが、元のpcapファイルを追跡するのに役立ちます。次のコマンドを使用してファイル名を変更できます。

    mv original.pcap original_original.pcap

  2. Tsharkを使用してpcaprawファイルから単一セッションを抽出する:Tsharkを使用して、pcap次のようにrawファイルから単一セッションを別々のpcapファイルに抽出します。

    tshark -r original_original.pcap -Y "tcp.stream == X" -w session_X.pcap

    X希望のセッション番号に変更してください。抽出する各セッションに対してこのコマンドを繰り返し、Xそれに応じてインクリメントします。

  3. 抽出されたファイルの混合pcap:bashスクリプトを使用して、抽出されたpcapファイルを新しい混合pcapファイルにランダムにリンクします。以下は、mixup_pcap.shこのshufコマンドを使用してファイル名をランダムに混合し、新しいファイルに追加するサンプルスクリプト()です。

    #!/bin/bash
output_pcap="mixed_sessions.pcap"
session_files=(session_*.pcap)

# Randomly shuffle the session files
shuffled_files=($(shuf -e "${session_files[@]}"))

# Concatenate the shuffled pcap files into a new mixed-up pcap file
for file in "${shuffled_files[@]}"; do
    cat "$file" >> "$output_pcap"
done

echo "Mixed-up pcap file created: $output_pcap"

    上記のスクリプトを に保存し、 を使用してmixup_pcap.sh実行可能にし、 を使用してchmod +x mixup_pcap.sh実行します./mixup_pcap.sh

  4. 混合pcapファイルの分析:mixed_sessions.pcap生成された混合pcapファイルをWireshark()で開くか、またはTsharkを使用してさらに分析できます。

注:上記の手順を実行するには、システムにTsharkがインストールされていることを確認してください。

ベストアンサー1

おすすめ記事