Wireshark pcap 파일 분할

by apollo89 Posted on 2014년 11월 4일

 
Wireshark pcap 파일 분할

이번 핵더 패킷에서 재일 고생했던 부분은..
시간과의 싸움이였다..
제공된 pcap 파일의 크기는 약 250M 정도..
하지만 이 파일을 읽어서 필터걸고 TCP follow 등 분석하는데 로딩 시간이 상당히 걸렸다..
대회시간은 단 2시간…
따라서 빠른분석을 위해 패킷을 의미있는 단위로 쪼개서 분석했어야 했는데 하는 아쉬움이 많이 남았다.

1. editcap을 이용한 분할

Wireshark를 설치한 폴더에 보면 editcap.exe 가 있다.
말그대로 pcap 파일을 편집 및 변환을 하는 도구다..

이 editcap을 이용해서 pcap 파일을 분할 할수 있다.

1) 30만개 패킷씩 분할
D:\>editcap.exe -c 300000 original.pcap original_split.pcap
wireshark_pcap_editcap_1

2) 60초 단위로 분할
D:\>editcap -i 60 original.pcap original_timesplit.pcap
wireshark_pcap_editcap_2

3) 특정 시간 부분만 추출
D:\>editcap -A “2014-10-18 21:06:00” -B “2014-10-18 21:07:00” original.pcap original_timerange.cap
wireshark_pcap_editcap_3

4) 특정 패킷만 선택하여 저장
D:\>editcap -r original.pcap original_selected.pcap 200-300 500-700
wireshark_pcap_editcap_4

5) 특정 패킷만 제외하고 저장
D:\>editcap original.pcap original_unselected.pcap 200-300 500-700
wireshark_pcap_editcap_5

만일 패킷을 마우스 오른쪽 버튼으로 쉽게 분할하려면..
Editcap_Split300000.zip 파일을 다운받아 설치하면 된다.
Editcap_Split300000_install

그러면 마우스 오른쪽 버튼에 Editcap_Split300000 메뉴가 생기고, pcap 파일을 Editcap_Split300000 을 이용하여 30만 패킷 단위로 분할할 수 있다.(단, Wireshark 위치가 PATH에 설정되어 있어야 함)
Editcap_Split300000_run

2. SplitCap 세션별로 저장
http://splitcap.sourceforge.net/

SplitCap은 pcap 파일을 분할해주는 도구이다.

editcap 보다 좋은 기능은 세션별로 분할해준다는 것이다.

D:\SplitCap_2-1>SplitCap.exe -r original.pcap

실행하면 pcap 파일명과 동일한 디렉토리를 만들고 그안에 세션별로 패킷을 쪼개서 저장해준다.

splitcap_res

단, 세션이 많은 경우 파일이 많이 생성되므로 주의..

3. Tshark 을 이용해 캡쳐시 분할하기

전XX 책임님꼐서 알려주심 팁~
tshark -D 으로 인터페이스 확인.

tshark -i 7 -w test.pcap -b filesize:10000

filesize 를 10M 단위로 파일 저장

참고 :
http://www.packetinside.com/2010/01/%EB%B6%84%EC%84%9D%ED%95%A0-%ED%8C%A8%ED%82%B7-%EB%8D%B0%EC%9D%B4%ED%84%B0-%ED%81%AC%EA%B8%B0%EA%B0%80-%ED%81%B0-%EA%B2%BD%EC%9A%B0%EB%8A%94-%EC%9D%B4%EB%A0%87%EA%B2%8C-%ED%95%98%EC%9E%90.html
http://www.packetinside.com/2010/07/%EC%9C%88%EB%8F%84%EC%9A%B0%EC%97%90%EC%84%9C-%EB%A7%88%EC%9A%B0%EC%8A%A4%ED%95%9C%EB%B2%88%EC%9C%BC%EB%A1%9C-%ED%8C%A8%ED%82%B7%ED%8C%8C%EC%9D%BCpcap%EC%9D%84-%EB%B9%A0%EB%A5%B4%EA%B3%A0-%EC%89%BD%EA%B2%8C-%EB%B6%84%ED%95%A0%ED%95%98%EC%97%AC-%EB%B3%B4%EC%9E%90.html
http://www.packetinside.com/2010/05/tcp-udp-%EC%84%B8%EC%85%98%EB%B3%84%EB%A1%9C-%ED%8C%A8%ED%82%B7pcap-%ED%8C%8C%EC%9D%BC-%EB%B6%84%ED%95%A0%ED%95%98%EA%B8%B0.html

 

This entry was posted in Util/Tools and tagged , , , . Bookmark the permalink.

One Response to Wireshark pcap 파일 분할

댓글 남기기