Pcap-файл, чем открыть

Обновлено: 21.11.2024

У меня есть файл pcapng, который можно открыть как в Wireshark 2.0.5, так и в WinPcap 4.1.3 (libpcap 1.7.3). Но я не могу открыть этот файл, используя последний код в GIT Wpcap v4.1.4.

Не удалось открыть файл «sample_00000_20160915102311.pcapng». Ошибка: недопустимая длина захвата интерфейса 4294967295, больше, чем максимум 262144

Wiresharks правильно открывает файл.

Если я конвертирую этот файл в pcap с наносекундами, Wpcap 4.1.4 (git) работает.

Текст был успешно обновлен, но возникли следующие ошибки:

прокомментировал ujos 23 сентября 2016 г.

Этот файл был собран на компьютере с Linux с помощью ProfiShark

комментарий fxlb от 23 сентября 2016 г.

Продавца следует попросить установить хороший snaplen в файле pcapng. Вы пытаетесь связаться со службой поддержки Profitap?

прокомментировал ujos 23 сентября 2016 г.

Нет, не видел. Эта проблема была поднята пользователем библиотеки Winpcap 4.1.3 (libpcap 1.7.3). Я попрошу его связаться со службой поддержки Profitap. Большое спасибо за оперативный ответ!

комментарий fxlb от 24 сентября 2016 г.

Для справки, не могли бы вы добавить zip-файл с исходным непреобразованным файлом захвата?

прокомментировал ujos 24 сентября 2016 г. •

Прикрепленный файл вверху является оригинальным.

Кстати, если файл поврежден, как Wireshark его открывает?

fxlb прокомментировал 24 сентября 2016 г. •

Оригинал? capinfos печатает «Приложение захвата: Editcap 2.2.0» и «Точность времени = наносекунды». Так что я думаю, что это файл, преобразованный в наносекунды.

Wireshark использует собственную функцию для чтения файла, а не функцию libpcap. Эта функция более либеральна.

комментарий Guyharris 24 сентября 2016 г. •

Wireshark также накладывает ограничение на максимальный размер пакета; тем не менее, он позволяет пакетам быть больше заявленной длины снимка, при необходимости расширяя свой буфер при чтении пакета, но возвращает ошибку, если размер буфера слишком велик.

libpcap этого не делает, потому что, если процитировать комментарий в sf-pcap.c:

У Wireshark нет этой проблемы, потому что его библиотека для чтения файлов захвата в настоящее время не имеет стабильного API, программа Wireshark не делает такого предположения, и любой сторонний код, использующий эту библиотеку, делает это на своем месте. на свой страх и риск.

И libpcap, и Wireshark налагают ограничение, чтобы файл не вызывал заполнение адресного пространства огромным буфером, а затем произошел сбой. Это меньше проблем с ILP64 и LLP64, хотя существует больше ограничений, чем просто размер адресного пространства, поэтому здесь тоже может быть проблема.

В libpcap мы могли бы сделать следующее: если длина моментального снимка в заголовке файла (pcap) или IDB (pcapng) слишком велика, просто ограничить ее до максимума, и, если на самом деле есть пакеты большего размера, терпят неудачу, когда мы их действительно читаем.

Нужна дополнительная информация о перехвате пакетов и анализе файлов PCAP в вашей сети? В этом посте мы подробно рассмотрим PCAP, что это такое и как вы можете его контролировать.

Что такое PCAP?

Packet Capture или PCAP (также известный как libpcap) — это интерфейс прикладного программирования (API), который собирает данные сетевых пакетов в режиме реального времени с уровней 2–7 модели OSI. Сетевые анализаторы, такие как Wireshark, создают файлы .pcap для сбора и записи данных о пакетах из сети. PCAP поставляется в различных форматах, включая Libpcap, WinPcap и PCAPng.

Эти файлы PCAP можно использовать для просмотра сетевых пакетов TCP/IP и UDP. Если вы хотите записывать сетевой трафик, вам необходимо создать файл .pcap. Вы можете создать файл .pcap с помощью сетевого анализатора или инструмента анализа пакетов, такого как Wireshark или tcpdump. В этой статье мы рассмотрим, что такое PCAP и как он работает.

Зачем мне нужно использовать PCAP?

PCAP — это ценный ресурс для анализа файлов и мониторинга сетевого трафика. Инструменты сбора пакетов, такие как Wireshark, позволяют собирать сетевой трафик и преобразовывать его в удобочитаемый формат. Есть много причин, по которым PCAP используется для мониторинга сетей. Некоторые из наиболее распространенных включают мониторинг использования полосы пропускания, выявление мошеннических DHCP-серверов, обнаружение вредоносных программ, разрешение DNS и реагирование на инциденты.

Для сетевых администраторов и исследователей в области безопасности анализ пакетных файлов является хорошим способом обнаружения сетевых вторжений и других подозрительных действий. Например, если источник отправляет в сеть много вредоносного трафика, вы можете определить это в программном агенте, а затем принять меры для устранения атаки.

Как работает анализатор пакетов?

Для захвата файлов PCAP необходимо использовать анализатор пакетов.Сниффер пакетов перехватывает пакеты и представляет их в удобном для понимания виде. При использовании сниффера PCAP первое, что вам нужно сделать, это определить, какой интерфейс вы хотите снифферить. Если вы используете устройство Linux, это может быть eth0 или wlan0. Вы можете выбрать интерфейс с помощью команды ifconfig.

Как только вы узнаете, какой интерфейс вы хотите отслеживать, вы можете выбрать, какой тип трафика вы хотите отслеживать. Например, если вы хотите отслеживать только пакеты TCP/IP, вы можете создать для этого правила. Многие инструменты предлагают фильтры, которые позволяют вам контролировать, какой трафик вы собираете.

Использование Wireshark для захвата и анализа файлов PCAP

Например, Wireshark позволяет фильтровать тип трафика, который вы видите, с помощью фильтров захвата и фильтров отображения. Фильтры захвата позволяют фильтровать трафик, который вы собираете, а фильтры отображения позволяют фильтровать трафик, который вы видите. Например, вы можете фильтровать сетевые протоколы, потоки или хосты.

После того как вы соберете отфильтрованный трафик, вы можете приступить к поиску проблем с производительностью. Для более целенаправленного анализа вы также можете фильтровать на основе портов источника и портов назначения, чтобы протестировать определенные элементы сети. Всю полученную информацию о пакетах можно использовать для устранения проблем с производительностью сети.

Версии PCAP

Как упоминалось выше, существует множество различных типов файлов PCAP, в том числе:

Каждая версия имеет свои варианты использования, и разные типы инструментов сетевого мониторинга поддерживают разные формы файлов PCAP. Например, Libpcap — переносимая библиотека c/C++ с открытым исходным кодом, предназначенная для пользователей Linux и Mac OS. Libpcap позволяет администраторам захватывать и фильтровать пакеты. Инструменты анализа пакетов, такие как tcpdump, используют формат Libpcap.

Для пользователей Windows существует формат WinPcap. WinPcap — еще одна портативная библиотека захвата пакетов, разработанная для устройств Windows. WinpCap также может захватывать и фильтровать пакеты, собранные из сети. Такие инструменты, как Wireshark, Nmap и Snort, используют WinPCap для мониторинга устройств, но сам протокол больше не поддерживается.

Pcapng или .pcap Формат файла захвата следующего поколения — это более продвинутая версия PCAP, которая по умолчанию поставляется с Wireshark. Pcapng может захватывать и сохранять данные. Тип данных, которые собирает pcapng, включает расширенную точность временных меток, комментарии пользователей и статистику захвата, чтобы предоставить пользователю дополнительную информацию.

Такие инструменты, как Wireshark, используют файлы PCAPng, поскольку они могут записывать больше информации, чем PCAP. Однако проблема с PCAPng заключается в том, что он не совместим с таким количеством инструментов, как PCAP.

Npcap — это переносимая библиотека анализа пакетов для Windows, разработанная Nmap, одним из самых известных поставщиков средств анализа пакетов. Библиотека быстрее и безопаснее, чем WinpCap. Npcap поддерживает Windows 10 и внедрение захвата пакетов обратной связи, поэтому вы можете отправлять и анализировать пакеты обратной связи. Npcap также поддерживается Wireshark.

Преимущества захвата пакетов и PCAP

Самое большое преимущество перехвата пакетов заключается в том, что он обеспечивает видимость. Пакетные данные можно использовать для точного определения основной причины сетевых проблем. Вы можете отслеживать источники трафика и определять данные об использовании приложений и устройств. Данные PCAP предоставляют информацию в режиме реального времени, необходимую для поиска и устранения проблем с производительностью, чтобы поддерживать работу сети после события безопасности.

Например, вы можете определить, где часть вредоносного ПО проникла в сеть, отслеживая поток вредоносного трафика и других вредоносных сообщений. Без PCAP и инструмента захвата пакетов было бы сложнее отслеживать пакеты и управлять рисками безопасности.

Как простой формат файла, PCAP имеет то преимущество, что он совместим практически с любой программой перехвата пакетов, о которой вы только можете подумать, с целым рядом версий для Windows, Linux и Mac OS. Захват пакетов можно развернуть практически в любой среде.

Недостатки захвата пакетов и PCAP

Несмотря на то, что перехват пакетов является ценным методом мониторинга, у него есть свои ограничения. Анализ пакетов позволяет отслеживать сетевой трафик, но не все. Многие кибератаки запускаются не через сетевой трафик, поэтому необходимо принять другие меры безопасности.

Например, некоторые злоумышленники используют USB-накопители и другие аппаратные атаки. Следовательно, анализ файлов PCAP должен составлять часть вашей стратегии сетевой безопасности, но не должен быть вашей единственной линией защиты.

Еще одним серьезным препятствием для перехвата пакетов является шифрование. Многие кибер-злоумышленники используют зашифрованные сообщения для запуска атак на сети. Шифрование не позволяет анализатору пакетов получить доступ к данным трафика и идентифицировать атаки. Это означает, что зашифрованные атаки останутся незамеченными, если вы полагаетесь на PCAP.

Есть также проблема с расположением анализатора пакетов. Если анализатор пакетов размещен на краю сети, это ограничит видимость пользователя.Например, пользователь может не заметить начало DDoS-атаки или вспышки вредоносного ПО. Кроме того, даже если вы собираете данные в центре сети, важно убедиться, что вы собираете целые разговоры, а не сводные данные.

Инструмент анализа пакетов с открытым исходным кодом: как Wireshark использует файлы PCAP?

Wireshark — самый популярный в мире анализатор трафика. Wireshark использует файлы .pcap для записи пакетных данных, полученных при сканировании сети. Пакетные данные записываются в файлы с расширением .pcap и могут использоваться для поиска проблем с производительностью и кибератак в сети.

Другими словами, файл PCAP создает запись сетевых данных, которую вы можете просматривать с помощью Wireshark. Затем вы можете оценить состояние сети и определить, есть ли какие-либо проблемы с обслуживанием, на которые вам нужно ответить.

Важно отметить, что Wireshark — не единственный инструмент, который может открывать файлы .pcap. Другие широко используемые альтернативы включают tcpdump и WinDump, инструменты мониторинга сети, которые также используют PCAP для увеличения производительности сети.

Пример собственного инструмента анализа пакетов

Монитор производительности сети SolarWinds (БЕСПЛАТНАЯ ПРОБНАЯ ВЕРСИЯ)

Монитор производительности сети SolarWinds — это пример инструмента мониторинга сети, который может собирать данные PCAP. Вы можете установить программное обеспечение на устройство, а затем отслеживать пакетные данные, полученные из всей сети. Пакетные данные позволят вам измерить время отклика сети и диагностировать атаки.

Пользователь может просматривать данные о пакетах на панели управления качеством обслуживания, включая сводную информацию о производительности сети. Графические изображения упрощают выявление всплесков интернет-трафика или вредоносного трафика, которые могут указывать на кибератаку.

Анализ файла PCAP: обнаружение атак в сетевом трафике

Отслеживание пакетов является обязательным для любой организации, имеющей сеть. Файлы PCAP являются одним из тех ресурсов, которые сетевые администраторы могут использовать для увеличения производительности микроскопа и обнаружения атак. Перехват пакетов не только поможет выявить первопричину атак, но и устранить неполадки, связанные с низкой производительностью.

Инструменты перехвата пакетов с открытым исходным кодом, такие как Wireshark и tcpdump, предоставляют сетевым администраторам инструменты для исправления низкой производительности сети, не тратя целое состояние. Существует также ряд проприетарных инструментов для компаний, которым нужен более продвинутый анализ пакетов.

Благодаря возможностям файлов PCAP пользователь может войти в анализатор пакетов, собирать данные о трафике и видеть, где потребляются сетевые ресурсы. Использование правильных фильтров также значительно упростит устранение белого шума и выделение наиболее важных данных.

Часто задаваемые вопросы о захвате файлов PCAP

Сколько файлов я получаю в день по подписке PCAP?

PCAP не предоставляется по подписке. Большинство инструментов PCAP запускают захват пакетов по запросу, однако можно запускать и завершать сеанс захвата с помощью сценария. Большая проблема с PCAP заключается не в том, сколько файлов вы получаете, а в их размере. Если сеанс захвата трафика длится более короткого периода времени, это приводит к очень и очень большому объему хранимых данных.

Какой уровень точности для отметки времени в PCAP?

Стандарт PCAP может выражать время с точностью до наносекунд — одной тысячной миллионной доли секунды. Все метки времени отображают смещение с 1 января 1970 года, 00:00:00 UTC.

Как работает Libpcap?

Libcap — это API, что означает, что им могут управлять другие программы. Он предоставляет ряд услуг, позволяющих перехватывать сетевые пакеты. Libpcap написан для работы в Unix и Unix-подобных системах, включая Linux и macOS. Он считывает все пакеты на сетевом интерфейсе своего хост-устройства. Чтобы это было эффективно, сетевую карту необходимо перевести в «неразборчивый режим». Это отключает фильтр, который сводит активность сетевого адаптера к простому чтению адресованных ему пакетов, поэтому все пакеты, циркулирующие в сети, будут обработаны.

Что такое оболочка libpcap и как она связана с PCAP?

Libpcap написан на C. Он реализует PCAP и предоставляет библиотеку вызовов функций, которую другие программы могут использовать для вызова программного кода, содержащегося в каждой функции в библиотеке. Не все языки программирования совместимы с конструкциями, используемыми для вызова функции Libpcap. Оболочка — это всего лишь встроенная в язык функциональная структура, которая существует исключительно для вызова функции Libpcap. Его цель — интерпретировать структуры данных, чтобы сделать вызовы функций C доступными для несовместимого языка программирования. Обертки не предоставляются библиотекой libpcap.

На что обратить внимание в инструментах захвата пакетов PCAP?

Мы изучили рынок программного обеспечения для захвата пакетов PCAP и проанализировали варианты на основе следующих критериев:

В этом документе описывается формат, используемый библиотекой libpcap для записи захваченных пакетов в файл. Программы, использующие библиотеку libpcap для чтения и записи этих файлов и, таким образом, для чтения и записи файлов в этом формате, включают tcpdump.¶

Места для обсуждения

Это примечание должно быть удалено перед публикацией в виде RFC.¶

Статус этой заметки

Этот Интернет-проект представлен в полном соответствии с положениями BCP 78 и BCP 79.¶

Интернет-черновики — это проекты документов, действительные не более шести месяцев, и в любое время они могут быть обновлены, заменены или устаревшими другими документами. Неуместно использовать Internet-Drafts в качестве справочного материала или цитировать их иначе, чем как «незавершенную работу».¶

Срок действия этого интернет-драфта истекает 25 июня 2021 г.¶

Уведомление об авторских правах

Авторское право (c) 2020 IETF Trust и лица, указанные в качестве авторов документа. Все права защищены.¶

Содержание

1. Введение

В конце 1980-х годов Ван Джейкобсон, Стив Макканн и другие сотрудники группы сетевых исследований Национальной лаборатории Лоуренса в Беркли разработали программу tcpdump для захвата и анализа сетевых трассировок. Код для захвата трафика с использованием низкоуровневых механизмов в различных операционных системах, а также для чтения и записи сетевой трассировки в файл позже был помещен в библиотеку с именем libpcap.¶

В этом документе описывается формат, используемый tcpdump и другими программами, использующими libpcap, для чтения и записи трассировки сети.¶

2. Терминология

Ключевые слова «ДОЛЖЕН», «НЕ ДОЛЖЕН», «ТРЕБУЕТСЯ», «ДОЛЖЕН», «НЕ ДОЛЖЕН», «СЛЕДУЕТ», «НЕ ДОЛЖЕН», «РЕКОМЕНДУЕТСЯ», «НЕ РЕКОМЕНДУЕТСЯ», «МОЖЕТ», и «НЕОБЯЗАТЕЛЬНЫЙ» в этом документе следует интерпретировать, как описано в BCP 14 [RFC2119] [RFC8174], когда и только тогда, когда они появляются заглавными буквами, как показано здесь¶

3. Общая структура файла

Файл захвата начинается с заголовка файла, за которым следует ноль или более записей о пакетах, по одной на пакет.¶

Все поля в заголовке файла и в записях пакетов всегда будут сохраняться в соответствии с характеристиками (с прямым порядком байтов/с прямым порядком байтов) записывающей машины. Это относится ко всем полям, которые сохраняются как числа и охватывают два или более октетов.¶

Подход, при котором файл сохраняется в собственном формате генерирующего хоста, более эффективен, поскольку позволяет избежать преобразования данных при чтении/записи на самом хосте, что является наиболее распространенным случаем при создании/обработке снимков захвата.¶

Пакеты показаны на традиционной диаграмме IETF с нумерацией битов слева направо. Нумерация битов не отражает позицию двоичного значения, так как протоколы IETF традиционно имеют сетевой порядок байтов с обратным порядком байтов. Таким образом, старший бит находится слева на этой диаграмме, как будто файл хранится в системе с обратным порядком байтов.¶

4. Заголовок файла

Заголовок файла имеет следующий формат:¶

Длина заголовка файла составляет 24 октета.¶

Значение полей в заголовке файла:¶

Магический номер (32 бита):

магическое число без знака, значением которого является либо шестнадцатеричное число 0xA1B2C3D4, либо шестнадцатеричное число 0xA1B23C4D.¶

Если значение равно 0xA1B2C3D4, метки времени в пакетных записях (см. рис. 2) указываются в секундах и микросекундах; если это 0xA1B23C4D, метки времени в записях пакетов указаны в секундах и наносекундах.¶

Эти числа можно использовать для различения разделов, сохраненных на машинах с прямым порядком байтов, от разделов, сохраненных на машинах с прямым порядком байтов, а также для эвристической идентификации файлов pcap.¶

Основная версия (16 бит):

значение без знака, указывающее номер текущей основной версии формата. Значение для текущей версии формата равно 2. Это значение должно измениться, если формат изменится таким образом, что код, считывающий новый формат, не сможет прочитать старый формат (т. е. код, считывающий оба формата, должен будет проверить номер версии и использовать разные пути кода для двух форматов), а код, который считывает старый формат, не может читать новый формат.¶

Дополнительная версия (16 бит):

значение без знака, указывающее номер текущей дополнительной версии формата. Значение для текущей версии формата равно 4. Это значение должно изменяться, если формат изменяется таким образом, что код, считывающий новый формат, может читать старый формат без проверки номера версии, но код, считывающий старый формат, может не читать все файлы в новом формате.¶

Зарезервировано1 (32 бита):

не используется — программам записи файлов pcap ДОЛЖНЫ быть заполнены 0, а программам чтения файлов pcap ДОЛЖНЫ игнорироваться. Это значение было задокументировано в некоторых старых реализациях как «коррекция перехода к локальной». Некоторые старые программы записи файлов pcap сохраняли в этом поле ненулевые значения.¶

Зарезервировано2 (32 бита):

не используется — программам записи файлов pcap ДОЛЖНЫ быть заполнены 0, а программам чтения файлов pcap ДОЛЖНЫ игнорироваться. Это значение было задокументировано в некоторых старых реализациях как «точность временных меток». Некоторые старые программы записи файлов pcap сохраняли в этом поле ненулевые значения.¶

SnapLen (32 бита):

значение без знака, указывающее максимальное количество октетов, захваченных из каждого пакета. Часть каждого пакета, превышающая это значение, не будет сохранена в файле. Это значение НЕ ДОЛЖНО быть равно нулю; если ограничение не указано, значение должно быть числом, большим или равным наибольшей длине пакета в файле.¶

Тип ссылки (32 бита):

значение без знака, определяющее в младших 28 битах тип пакетов канального уровня в файле.¶

Присутствует циклическая последовательность кадров (4 бита):

если установлен бит "f", то биты FCS указывают количество байтов FCS, которые добавляются к каждому пакету.¶

допустимые значения находятся в диапазоне от 0 до 7, при этом Ethernet обычно имеет длину 4 байта.¶

5. Пакетная запись

Запись пакета — это стандартный контейнер для хранения пакетов, поступающих из сети.¶

Длина заголовка пакета составляет 16 октетов.¶

Значение полей в записи пакета:¶

Временная метка (секунды) и временная метка (микросекунды или наносекунды):

секунды и доли секунд значения временной метки.¶

Значение секунд – это 32-разрядное целое число без знака, которое представляет собой количество секунд, прошедших с 01 01 1970 года 00:00:00 по всемирному координированному времени, а значение микросекунд или наносекунд представляет собой количество микросекунд или наносекунд, которые прошедшее с этого момента секунд.¶

Представляет ли значение микросекунды или наносекунды, определяется магическим числом в заголовке файла.¶

Длина захваченного пакета (32 бита):

значение без знака, указывающее количество октетов, захваченных из пакета (т. е. длину поля данных пакета). Это будет минимальное значение между исходной длиной пакета и длиной моментального снимка для интерфейса (SnapLen, определенное на рис. 1).¶

Исходная длина пакета (32 бита):

значение без знака, указывающее фактическую длину пакета при его передаче по сети. Она может отличаться от длины захваченного пакета, если пакет был усечен в процессе захвата.¶

данные, поступающие из сети, включая заголовки канального уровня. Фактическая длина этого поля — длина захваченного пакета. Формат заголовков канального уровня зависит от поля LinkType, указанного в заголовке файла (см. рис. 1), и указывается в записи для этого формата в [LINKTYPES].¶

6. Рекомендуемое расширение имени файла: .pcap

Рекомендуемое расширение имени файла для «Формата файла захвата PCAP», указанного в этом документе, — «.pcap».¶

В Windows и macOS файлы различаются по расширению имени файла. Такое расширение технически на самом деле не требуется, так как приложения должны иметь возможность автоматически определять формат файла pcap через «магические байты» в начале файла, как это делают некоторые другие среды рабочего стола UN*X. Однако использование расширений имен упрощает работу с файлами (например, позволяет визуально различать форматы файлов), поэтому рекомендуется, хотя и не обязательно, использовать расширение .pcap в качестве расширения имени для файлов, соответствующих этой спецификации.¶

Обратите внимание: во избежание путаницы (например, текущего использования .cap для множества различных форматов файлов захвата) следует избегать расширений имен файлов, отличных от .pcap.¶

Выполняется новая работа по созданию формата файла захвата PCAP Next Generation (см. [I-D.tuexen-opsawg-pcapng]). Новый формат файла несовместим с этой спецификацией, но многие программы прозрачно считывают оба формата. Файлы этого типа обычно начинаются с блока заголовка раздела с магическим числом 0x0A0D0D0A.¶

7. Вопросы безопасности

8. Соображения IANA

[Открытый вопрос: решить, должны ли значения LinkType соответствовать реестрам IANA. И если да, то какой должна быть политика IANA для каждого из них (см. RFC 5226)]¶

9. Авторы

[Вставьте сюда разработчиков pcap и т. д.].¶

10. Благодарности

Авторы благодарят [вставьте список здесь] и многих других за их бесценные комментарии.¶

11. Ссылки

11.1. Нормативные ссылки

[RFC2119] Брэднер, С., «Ключевые слова для использования в RFC для указания уровней требований», BCP 14, RFC 2119, DOI 10.17487/RFC2119, март 1997 г., . [RFC8174] Лейба, Б., «Неоднозначность прописных и строчных букв в ключевых словах RFC 2119», BCP 14, RFC 8174, DOI 10.17487/RFC8174, май 2017 г.,

Я выполнил yum-установку программы wireshark и wireshark-gnome .Когда я запускаю wireshark из командной строки, всплывает графический интерфейс, но когда я пытаюсь открыть файл PCAP, который я ранее захватил в другом окне , используя мою команду tcpdump, ошибки программы и сообщает мне, что файл имеет формат, который wireshark не понимает. Я думал, что wireshark на самом деле может читать файлы с помощью PCAP < tt>расширения.

Расширение не имеет к этому никакого отношения; содержание делает. (Кто-то в Массачусетском технологическом институте, во времена CTSS, должен был подумать наперед и сделать типы файлов чем-то отличным от имени файла, но я отклонение. ) Файл PCAP не обязательно должен иметь ".pcap" в качестве расширения (он не должен иметь какое-либо расширение), и файл с расширением ".pcap" не обязательно является файлом PCAP. Например, если вы *НЕ* использовали флаг "-w" при захвате это с tcpdump, но, например, что бы создать текстовый файл, который ни tcpdump, ни Wireshark (ни любая другая программа, которая читает файлы в формате libpcap). Возможно, было бы лучше, так как "длина снимка" по умолчанию для tcpdump обычно составляет 68 или 96 байт, и, таким образом, сохранит не более первых 68 или 96 байт каждого пакета; "-s 0" или, в более старых версиях tcpdump, "-s 65535" сохранит до 65535 байт пакета). Если файл имеет формат libpcap, Wireshark сможет его прочитать независимо от расширения, *если* файл не был искажен транспортировкой. с одной машины на другую. Вы сказали "tcpdump", когда говорили о другом ящике, и сказали "yum install", так что я предполагаю, машина, на которой вы захватили файл, является ящиком UN*X какой-то это ящик, на котором вы запускаете Wireshark, так что файл, вероятно не был поврежден при транспортировке, но попробуйте прочитать его с помощью 2) это не файл pcap (независимо от того, имеет ли он ".pcap" в качестве расширения).

Wireshark и логотип "плавник" являются зарегистрированными товарными знаками. ┃ Твиттер ┃ Политика конфиденциальности Наверх

Читайте также:

  
• Как подключить fiio btr5 к компьютеру
  
• Как сохранить каталог Lightroom
  
• Фантомное питание — это звуковая карта
  
• Es проводник, как установить соединение с компьютером
  
• Как наложить одну таблицу на другую в Excel и выделить совпадения