BoanHack

NAMEcapinfos - Prints information about capture filesSYNOPSIScapinfos [ -a ] [ -A ] [ -b ] [ -B ] [ -c ] [ -C ] [ -d ] [ -e ] [ -E ] [ -F ] [ -h ] [ -H ] [ -i ] [ -I ] [ -l ] [ -L ] [ -m ] [ -M ] [ -N ] [ -o ] [ -q ] [ -Q ] [ -r ] [ -R ] [ -s ] [ -S ] [ -t ] [ -T ] [ -u ] [ -v ] [ -x ] [ -y ] [ -z ] ...DESCRIPTIONCapinfos is a program that reads one or more capture files and returns some or all ..

NAMEeditcap - Edit and/or translate the format of capture filesSYNOPSISeditcap [ -a ] [ -A ] [ -B ] [ -c ] [ -C [offset:] ] [ -E ] [ -F ] [ -h ] [ -i ] [ -o ] [ -L ] [ -r ] [ -s ][ -S ] [ -t ] [ -T ] [ -v ] infile outfile [ packet#[-packet#] ... ]editcap -d | -D | -w [ -v ] [ -I ] infile outfileeditcap [ -V ]DESCRIPTIONEditcap is a program that reads some or all of the captured pa..

출처 : 패킷인사이드 차세대 패킷 포맷 PCAP-NG 를 PCAP 으로 쉽게 변환하기인기있는 패킷분석 도구인 최신 와이어샤크를 사용하면 패킷파일 저장시에 기본적으로 차세대 PCAP 포맷인 PCAPNG 형태로 저장되고 있습니다. 항상 확장자가 cap 또는 pcap 으로 되어 있는 것으로만 익숙해져 있는데 말이죠. 디폴트로 사용되다 보니 과거 보다는 pcapng 포맷이 조금 더 증가한 느낌입니다. pcapng 포맷은 pcap 보다 패킷 파일 저장시 더 많은 정보를 기록하고 있습니다. 더 많은 정보를 주니 분석가 입장에서는 싫을 이유는 없겠죠. 다만, 패킷 파일 사이즈가 더 커지는 문제는 있습니다. 오늘은 PCAP 에 익숙하신 분들을 위하여 PCAP-NG 포맷을 PCAP 으로 쉽게 바꾸는 방법에 대해서 알려드..

참고사이트 : https://danielmiessler.com/study/tcpdump/#gs.e3tiQNc OptionsBasic UsageExamplesWriting to a FileGetting CreativeAdvanced[ NOTE: For more primers like this, check out my tutorial series. ]tcpdump is the premier network analysis tool for information security professionals. Having a solid grasp of this über-powerful application is mandatory for anyone desiring a thorough understanding of TC..

The info column will not work in -e as that is only for filterable fields (such as tcp.port). You can specify the columns to use in tshark by overriding (-o) the preference file setting for column.format using the syntax taken from the preferences file: # Packet list column format. # Each pair of strings consists of a column title and its format. column.format: "No.", "%m", "Time", "%t", "Source..

pcap 파일을 csv 형식으로 출력해서 엑셀로 봐야 할 때가 있다. csv 형식으로 출력해보자. tskark -r file.pcap -T fields -E separator=, -E quote=d -E header=y -e ip.src -e ip.dst 위와 같은 형식으로 하면 출발지IP와 목적지IP가 csv 형식으로 출력된다. -T fields : 출력할 필드를 설정할 수 있다. -E separator=, : 필드 간 구분자를 ','를 사용하다는 의미 -E quote=d :필드를 double quote를 감싼다는 의미, 's'로 입력하면 single quote -E header=y : 맨 위에 해당 필드명을 출력한다는 의미 텍스트로 저장하고자 한다면 출력 재지정하면 된다. -T pdml|ps|psml..

Wireshark를 설치하면 mergecap 파일이 설치되어 있다. mergecap을 통해 pcap 파일을 결합해보자. $ mergecap -h Mergecap 1.10.6 (v1.10.6 from master-1.10) Merge two or more capture files into one. See http://www.wireshark.org for more information. Usage: mergecap [options] -w |- [ ...] Output: -a concatenate rather than merge files. default is to merge based on frame timestamps. -s truncate packets to bytes of data. -w |- set..

PCAP 파일 구조에 대해 궁금증이 생겼다... 패킷 데이터 부분만 있을 때 Wireshark에서 볼 수 있는 파일로 만들 수 있을까? file format 을 확인해보자. 맨 앞에 24 Bytes는 Global Header 이다. pcap 파일에서 기본으로 붙는 헤더이다. Magic Number는 'A1 B2 C3 D4'(libpcap) 또는 'A1 B2 CD 34'(extended pcap) 이다. 리클 엔디안 방식으로 입력이 되어 있기에 'D4 C3 B2 A1'로 보인다. 그 뒤로는 패킷별로 '패킷 헤더 + 패킷 데이터'가 쌍으로 해서 계속 나열되는 구조이다. 패킷 헤더 앞에 8 Bytes는 Timestamp 관련 헤더이며 뒤에 있는 8 Bytes는 패킷 데이터 사이즈를 나타낸다. 위에 있는 패킷 ..

참조 : Instant Traffic Analysis with Tshark How-to 캡쳐할 인터페이스 확인하기(-D) # tshark -D 윈도우에서도 동일하게 명령어가 적용된다. 캡처할 때 인터페이스 앞에 있는 번호를 사용해도 되고, 뒤에 인터페이스명을 사용해도 된다. 그런데 윈도오는 인터페이스가 길게 나오기 때문에 번호를 사용하는게 더 수월할 것 같다. 패킷 캡처 필터 사용하기(-f) 패킷 캡처 필터는 어떤 패킷을 캡처할 것인지 지정하는 것이다. 인터페이스에 들어오는 모든 패킷을 덤프하면 컨텍스트 전환 때문에 CPU에 부하를 주게 된다. 그래서 보고자 하는 패킷만 캡처하면 시스템에 부하를 줄여줄 수 있다. 캡처 필터는 BFP(Berkeley Packet Filter)를 사용한다. 즉, tcpdum..

tshark는 wireshark 커맨드라인 버전으로 생각하면 된다. 사이즈가 큰 패킷 덤프 파일은 wireshark로 분석하기에는 처리속도라는 어려움이 있다. 그 때는 tshark를 사용하면 속도 문제를 해결할 수 있다. 물론 익숙지 않는 사람들에게는 커맨드라인이라는 불편함이 따라온다. 우선 통계 생성을 해보자. tshark에서는 -z 옵션을 통해서 통계를 생성한다. -z 옵션을 사용할 때는 -q 도 같이 사용하는게 좋다. -q를 사용하지 않을 때는 모든 패킷 리스트가 출력하며, -q를 사용하면 결과값만을 출력한다. $ tshark -r test.pcap -qz ip_hosts,tree ==================================================================..