Wireshark抓包后的报文太大,如何拆分?

已于 2024-05-30 17:21:52 修改
阅读量2.1k 收藏 4
点赞数 1
分类专栏: 小记 文章标签: wireshark 服务器 测试工具
于 2024-05-30 17:18:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/agang1986/article/details/139292357
版权

背景:抓包获取到一个400多兆的网络数据包.pcapng文件,使用wireshark软件可以正常打开。但需要把文件导出为.json文件,从而方便对报文内容做过滤分析。使用wireshark自带的导出功能导出后发现生成的.json文件大小为2G多,使用notepad++根本打不开。就想着先把网络数据包文件.pcapng拆分成小的数据包后再导出为多个.json文件。

拆分方法:使用wireshark自动的工具就可以拆分,工具在wireshark的安装路径下,命令如下:
C:\Wireshark> .\editcap.exe -c 10000 large_capture.pcapng small_capture_part.pcapng在这里插入图片描述
说明:其中参数-c指定拆分成的文件的大小,单位是KB,如上面是10000KB,即大约10M大小的文件。命令执行后原始文件会被查封成多个文件,文件按序号命名。

一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 4万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
Wireshark 抓包分析-使用网址、域名访问 Web 服务器后面发生了什么?
@另维
08-19 9902
使用 IP 地址访问 Web 服务器 首先打开 Wireshark,选择 ”HTTP TCP port(80)“ 过滤器,再鼠标双击 ”Npcap loopback A dapter“,开始抓取本机 127.0.0.1 地址上的网络数据。 接着在 Chrome 浏览器地址栏输入”http://127.0.0.1/“,再按下回车键,等欢迎页面显示出来后 Wireshark 就会有铺获的数据包。如下: 抓包分析 在 Wireshark 里可以看到,一共抓取 11 个包,耗时约 0.65 秒,接着看按下回车后数
wireshark抓包文件拆分
小泥人日常
11-30 1308
wireshark
Wireshark切割数据包文件
在河之洲
12-27 3246
在FPGA上做实验的时候发现一个数据包文件太大,QDR里存不下没有办法一次性存储所有的数据包,于是需要将测试的额流量文件切割成每一个文件包含有520000包的文件,于是可以采用Wireshark中自带的指令对文件进行切割 D:\Program Files\Wireshark> editcap.exe -c 520000 F:\SDM\visual_stdio\CACTI_EXP_poj\CAC
Wireshark抓包和分析,看这篇就够了!
最新发布
xnxqwzy的博客
03-04 1654
Wireshark抓包与分析WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分强大功能的工具,深受各类和网络分析师的喜爱。我们首先来介绍一下Wireshark这款软件。首先我们先认识一下这个软件的主界面是长这样的在这个界面中为Wireshark的主界面。
Wireshark分割PCAP数据包
邹亮的博客
10-29 3718
原始pcap包如图, 包含了七万多条数据,不便测试,因此想从中提取出三条数据作为测试。 在终端中,先cd到pcap包的存放路径下: 然后输入命令: 即可拆分原始的pcap数据包(IMU_test_data_20190619.pcap),得到多个小pcap数据包,每个含有3条数据: ...
干货 | 基于wireshark的大报文按需切割方法
中兴开发者社区
02-08 2361
点击上方“中兴开发者社区”,关注我们每天读一篇一线开发者原创好文本文简单说明一下基于wireshark的大报文的按需切割方法,主要说明的是如何将一个很大的报文按照需求变成一个较小的报文。通常从外场采集回来的报文都在百G的数量级,而实际的应用过程中,可能只关注报文中的少数内容,这个时候就需要按需切割。通常的做法是使用wireshark自带的editcap等工具按照数据包的个数进行分割。但是此种方法的
wireshark使用-----拆分抓包文件
han_better的博客
12-22 5683
有时抓包文件过大,导致打开、过滤等操作异常缓慢,可以通过拆分抓包快速处理 1、进入wireshark安装目录中对应目录,找到对应的editcap.exe文件 右击wireshark图标 然后打开文件位置 找到editcap.exe 2、通过cmd,进入到对应目录文件,用editcap.exe去拆分,注意一下参数 说明: editcap.exe -c num sourcefile destfile -c num 每个拆分文件的报文条数 sourcefile
wireshark使用-(1)对现有网络包进行分包
MatthewMao
02-17 1995
分包说明:关于现场问题分析,一般都是通过日志,这个属于程序中加的打印,或存数据库,或者存文本形式,这种一般比较符合程序逻辑;还有一种就是涉及到网络通信方面的,需要通过抓包来分析其中的通信过程;下面主要是说明通过wireshark抓包分包过程。
Wireshark 实现分包
baiqishijkh的博客
05-11 8434
        在使用wireshark(或者linux系统下tcpdump)进行网络数据抓取时,有时候因为抓取时间较长会使得产生的抓包文件比较大,有可能我们所抓取的有效数据包出现在很多无效数据包之后产生,这样会存在分析不便的情况,我们可以尝试这将抓取的数据包进行相应的拆分处理以提取出有效数据包。我们将使用wireshark自带的editcap.exe工具来实现分包操作。1、找到wireshark...
wireshark切割数据包
Westlife0001的博客
11-20 709
示例是将一个300M数据包切为每个50000个包的文件,第一个目录为需要切割的数据包所在位置及名称,第二个目录为切割完之后多个数据包的位置及名称。
HTTPS之Wireshark抓包
程序猿进阶
04-21 4914
Wireshark是一个非常强大的网络分析软件,借助它能够知道客户端和服务器端是如何互相交换消息的,能够了解每个消息的具体内容。
使用WireShark抓包分析TCP_IP协议_wiresharkip协议分析
2401_87555661的博客
11-12 1667
在(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分层,及各个比特的含义。在这篇文章中,我们将使用抓包分析 TCP/IP 协议,用实践来验证理论。
Wireshark抓包实验
weixin_46584792的博客
12-23 2129
目录1.数据链路层实作一 熟悉 Ethernet 帧结构实作二 了解子网内/外通信时的 MAC 地址实作三 掌握 ARP 解析过程2.网络层实作一 熟悉 IP 包结构实作二 IP 包的分段与重组实作三 考察 TTL 事件3.传输层实作一 熟悉TCP UDP段结构实作二 分析TCP建立和释放连接4.应用层实作一 了解DNS解析实作二 了解HTTP的请求和应答5.总结 1.数据链路层 实作一 熟悉 Ethernet 帧结构 使用Wireshark进行任意抓包,熟悉 Ethernet 帧的结构,如:目的 MAC
网络抓包文件太大,如何切分
weixin_35719260的博客
01-23 62
背景 节前最后几天了,随便写点水文吧,今天就记录一下,当我们拿到的网络抓包文件太大,应该怎么分析。 一般来说,我们个人抓包的话,linux上用tcpdump比较多,抓的时候也会用捕获表达式,抓出来的包一般不大,用wireshark分析就很容易。 但是,前一阵的一个晚上,dba突然找我,看能不能帮忙一起分析一个网络抓包文件,连了会议后一看,大小有4g,这么大的包,wireshark打开都很是困难,...
wireshark抓的包太大,怎么拆分成多个文件呢?
热门推荐
doyoulike的专栏
08-08 1万+
from baidu874 发表于 2009-12-31 10:02 用tcpdump就可以直接拆分抓到的数据包。 tcpdump -r ***.pcap -w newfile -C 1000 就是从已经捕获的文件读取,然后再另存成新文件,并且每个文件大小是1000M(不过不是1G,是1000M个字节)
wireshark保存文件集-解决pcap文件过大,打开极慢的问题
刘贝斯老师的博客
03-14 9448
如果我们需要长时间抓包,或者抓包接口的流量非常大,保存为一个pcap文件的话,那么该文件就会极大,打开也极慢,过滤和查询更新。将wireshark抓不到的数据包保存到一个文件集就可以完美解决这个问题啦。 下面通过一个配置举例来看 需求 通过wireshark抓包,一秒钟保存一个文件,保存5个文件后停止抓包(因为数据中心的网络一秒的流量就有几个G ~!) 位置:capture > optio...
基于wireshark lua 插件的报文按需切割方法
村中少年的专栏
03-02 1820
本文简单说明一下基于wireshark的大报文的按需切割方法,主要说明的是如何将一个很大的报文按照需求变成一个较小的报文
wireshark使用-(2)运行时自动分包
MatthewMao
06-07 2094
现如今的网络通信分析基本都逃不开wireshark这个工具,而运行长时间的网络包往往过大,我们只想关注指定时间段的网络包,所以分包就显得尤为重要,好在wireshark工具自带这个功能,方便运行时能自动按时间,按大小,按组数帮助我们分好包,方便在需要的时候提取分析。
举一个例子实现本机电脑通过scapy和wireshark对这个ensp拓扑图中进网络行rip报文抓包,修改,重传及分析前后的改变
11-03
Scapy是一个强大的Python网络数据包处理库,而Wireshark则是一个广泛使用的网络协议分析器。要实现在本地计算机上使用这两个工具捕获、修改RIP报文(Routing Information Protocol),我们首先需要了解它们的基本操作流程。 **示例步骤:** 1. **安装依赖**: - 安装`scapy`:`pip install scapy` - 如果要在Wireshark中查看捕捉到的数据,还需要安装Wireshark并开启显示过滤器`tcp.port == 520`(RIP通常使用UDP端口520) 2. **启动抓包**: 使用Scapy的`sniff()`函数开始监听网络流量: ```python from scapy.all import sniff # 指定接口和抓取特定类型的报文 ( RipV1 or RipV2) filter_str = "udp port 520" packets = sniff(filter=filter_str, iface="ensp") # 将"ensp"替换为你的网络接口名 ``` 3. **分析原始RIP报文**: 对捕获的每个报文,你可以访问其内容: ```python for packet in packets: if packet.haslayer(RoutingInformationProtocol): rip_packet = packet.getlayer(RoutingInformationProtocol) print("Original RIP message:") print(rip_packet.show()) ``` 4. **修改报文**: 要修改RIP报文,可以创建一个新的RIP报文实例,然后替换原内容: ```python modified_rip_packet = RoutingInformationProtocol() modified_rip_packet.route = 'modified_route' # 添加其他更改... ``` 5. **重传报文**: Scapy允许我们发送新的数据包,这里我们可以使用`send()`函数将修改后的报文发送回网络: ```python send(modified_rip_packet, verbose=False) # 静默发送,设置verbose=False防止打印太多信息 ``` 6. **分析结果**: 抓取一段时间后,再次检查Wireshark中是否能看到修改过的RIP报文。对比原始报文和修改后的报文,注意路由信息或其他字段的变化。 **相关问题--:** 1. 修改报文时如何添加自定义路由条目? 2. Scapy如何设置过滤规则只抓取RIP报文? 3. 如何确认发送的修改后的报文已被接收方路由器识别?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值