Как разделить файлы pcap, сохраняя tcp сессии

953
user3098549

У меня есть файл pcap, который содержит следы TCP.

Мне было интересно, есть ли способ разделить эти трассы, чтобы поддерживать потоки TCP, но также и фильтровать трафик на основе SRC IP.

Например, если в моей сети есть IP-адреса, принадлежащие 192.168.0.0/16, я хочу разделить трассы на два пакета: первый с ip с 192.168.0.0 до 192.168.127.127, а второй с 192.160.127.128 до 192.168.255.255.

В то же время я не хочу терять TCP-соединения с внешними серверами.

Может ли Wireshark сделать это?

2

1 ответ на вопрос

2
fx23

Я предлагаю использовать PcapSplitter, который является частью пакета PcapPlusPlus . Вы можете скомпилировать его код самостоятельно или скачать бинарные файлы для нескольких платформ отсюда

Вы можете использовать инструмент для достижения того, что вы хотите следующим образом:

PcapSplitter.exe -f your_file.pcap -i "net 192.168.0.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR1>  PcapSplitter.exe -f your_file.pcap -i "net 192.168.128.0 mask 255.255.128.0" -m client-ip -o <PATH_TO_OUTPUT_DIR2>

При каждом запуске будет выводиться папка, содержащая файлы pcap для каждого IP-адреса клиента - первая папка для IP-адресов клиентов в диапазоне от 192.168.0.0 до 192.168.127.255 и другая папка для IP-адресов клиентов в диапазоне от 192.168.128.0 до 192.168.255.255. Затем вы можете использовать mergecap или другой инструмент для объединения файлов pcap в каждой папке, если хотите

Похожие вопросы