Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Know How

editcap - Wireshark Capture Files bearbeiten

Das Kommandozeilenprogramm editcap ist Bestandteil von Wireshark. Das Tool ermöglicht die Konvertierung von Capture Files. Eine interessante Möglichkeit ist das Ausschneiden bestimmter Zeiten aus einem Trace. Der Aufruf von editcap kann die folgenden Parameter enthalten:

editcap-c <packets per file> ] [ -C <choplen> ] [ -d ] [ -E <error probability> ] [ -F <file format> ] [ -A <start time> ] [ -B <stop time> ] [ -h ] [ -r ] [ -s <snaplen> ] [ -t <time adjustment> ] [ -T <encapsulation type> ] [ -v ] infile outfilepacket#[-packet#] ... ]

Trace in mehrere Dateien aufteilen

Oft entstehen beim Aufzeichnen mit Wireshark oder tshark sehr große Dateien. Diese lassen sich dann teilweise auch nicht mehr mit Wireshark öffnen (OutOfMemory). Mit editcap können solche Capture Files in mehrere kleine Dateien aufteilen. Das folgende Kommando liest den Trace bigtrace.pcap und schreibt dessen Inhalt in neue Dateien beginnend mit smallfile-00000. Jede neue Datei enthält 10000 Frames.

editcap -c 10000 bigtrace.pcap smallfile

Die Größe der erstellten Dateien hängt dabei von der Größe der aufgezeichneten Frames ab. Hier ist unter Umständen etwas experimentieren angesagt. Die so erstellen Dateien lassen sich problemlos mit Wireshark öffnen und weiter filtern.

Frames beschneiden

Eine weitere Möglichkeit zum Verkleinern von Capture Files ist die Beschneidung aller Frames auf eine bestimmte Größe. Für eine erste Auswertung reichen oft 100 oder 200 Bytes jedes Frames. Mit editcap ist das schnell erledigt:

editcap -s 100 trace.pcap trace100.pcap

Hier wird der Trace trace.pcap gelesen und die ersten 100 Byte jedes Frames nach trace100.pcap geschrieben. Wurden dabei relevante Informationen für das Dekodieren abgeschnitten, zeigt Wireshark die Meldung [Packet size limited during capture: x truncated] an. Bei Bedarf können die fraglichen Frames dann mit editcap extrahiert werden.

Trace auf einen Zeitraum begrenzen

Lässt sich das Auftreten eines Problemes auf eine bestimmte Zeit eingrenzen, ist editcap ebenfalls sehr nützlich. Mit editcap lassen sich die Frames zwischen einer Start- und einer Endezeit aus einem Trace ausschneiden:

editcap -A "2008-10-20 14:10:00" -B "2008-10-20 14:15:00" largetrace.pcap timeframe.pcap

Die Kommandozeile kopiert den Zeitraum vom 20. Oktober 14:10 Uhr bis 14:15 aus dem Trace largetrace.pcap in die Datei timeframe.pcap.

Weiterführende Informationen

Grundlegende Informationen finden Sie in meinem Wireshark Tutorial. Im Netzwerkforum erhalten Sie Hilfe zur Nutzung von editcap und Wireshark.

  • Fragen zur Installation und Benutzung von editcap posten Sie bitte an das Forum Tools.
  • Fragen zur Netzwerkprotokollen und Protokollanalyse können Sie im Forum Netzwerkprotokolle und Dienste stellen.

Aktuelle Meldungen

Netgear präsentiert ProSAFE 28-Port 10-Gigabit Smart Managed Switches XS728T

Netgear bringt Speicherlösung für Großunternehmen

SFP-Transceiver für explosionsgefährdete Umgebungen

Neue Generation nicht-managebarer Switche von SMC Networks

Universeller IPsec VPN Client für Android

Diskussionen im Forum

Verständnisfrage: Kommunikation Router-PC

Zwei logisch getrennte Netz an einem Router erstellen

Sitecom Router als Accesspoint konfigurieren

Buchempfehlung

Wireshark - keine ausgehenden Pakete

Aktuelle Artikel
JPerf - grafische Oberfläche für iperf
Mit iperf kann die Übertragungsgeschwindigkeit von Netzwerken gemessen werden. JPerf ist eine grafische Oberfläche für iperf. Der Artikel beschreibt die Messung mit TCP und UDP und gibt Anregungen zur Fehlersuche bei Performanceproblemen.

Fehlersuche im VPN
Der Artikel liefert dem Admin einige Anregungen zur Fehlersuche in IPsev-VPN-Installationen. Was ist beim Aufbau von VPN-Tunneln zu beachten, was sind typische Fehler.

Alle Artikel...
Neue Tutorials
VPN mit der FritzBox
Die Fritz!Box von AVM unterstützt den Aufbau von VPN-Verbindungen mit dem Protokoll IPsec. AVM stellt dafür die Windows-Software FRITZ!Fernzugang zur Verfügung. Das Tutorial beschreibt die Konfiguration eines VPNs mit der AVM FRITZ!Box Fon WLAN 7270.

Virtuelle Netze mit VMware Server
VMware Server bietet drei Arten der virtuellen Vernetzung für ein Gastsystem an: Bridged Networking, Network Address Translation (NAT) und Host-only Networking. Das Tutorial beschreibt die Möglichkeiten der einzelnen Betriebsarten und deren Konfiguration.

Outlook einrichten
Sie möchten Ihre E-Mails von Web.de, GMX oder T-Online mit Outlook abrufen? Das Tutorial beschreibt die Einrichtung eines IMAP-Kontos mit Outlook 2007 an einem Beispiel.

Alle Tutorials...
Neue Testberichte
Net Optics iBypass Switch
Der iBypass von Net Optics ist Bypass Switch zum unterbrechungsfreien Einschleifen eines Intrusion Prevention Systems.

ePowerSwitch-4
Der ePowerSwitch-4 ist eine Schuko-Steckdosenleiste mit Ethernet-Interface und integriertem Webserver. Über einen Browser lassen sich die vier Schuko-Steckdosen über das Netzwerk schalten.

Alle Testberichte...

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012