pcap 파일 합치고 쪼개고pcap 파일 병합 1다수 .pcap 파일이 존재할 경우 데이터 분석을 위해서 이를 하나로 병합하는 것이 유용할 수 있다. 이런 경우 mergecap 명령어를 사용한다. 즉, dhcp-capture.pcapng, imap-1.pcapng 파일을 합쳐서 outfile.pcapng 출력파일로 저장하는 명령어는 다음과 같다.
$ mergecap -w outfile.pcapng dhcp-capture.pcapng imap-1.pcapngpcap 파일 쪼개기 2매우 커다란 .pcap 파일이 패킷을 캡쳐하여 담고 있는 경우, 분석을 위해서 혹은 필요한 데이터만 끄집어 내기 위해서 .pcap 파일을 쪼갤 필요가 있다. 이런 경우 tcpdump 명령어를 사용한다.
$ tcpdump -r target_file -w splitted_files -C 100-r : 목표가 되는 크기가 큰 .pcap 파일-w : 커다란 .pcap 파일이 쪼개서 저장될 파일명-C : 얼마 단위로 쪼갤지 결정할 크기 - 100 MB다음 명령어는 Office.pcapng 1GB 파일을 100MB 기준으로 10조각 내게 된다.
$ tcpdump -r Office.pcapng -w office_test.pcap -C 100
reading from file Office.pcapng, link-type E
$ ls -alh
total 1.9G
drwxr-xr-x 1 rstudio rstudio 0 Sep 5 01:26 .
drwxr-xr-x 1 rstudio rstudio 0 Aug 29 07:48 ..
-rwxr-xr-x 1 rstudio rstudio 96M Sep 5 01:30 office_test.pcap
-rwxr-xr-x 1 rstudio rstudio 96M Sep 5 01:30 office_test.pcap1
-rwxr-xr-x 1 rstudio rstudio 96M Sep 5 01:30 office_test.pcap2
-rwxr-xr-x 1 rstudio rstudio 96M Sep 5 01:30 office_test.pcap3
-rwxr-xr-x 1 rstudio rstudio 96M Sep 5 01:30 office_test.pcap4
-rwxr-xr-x 1 rstudio rstudio 96M Sep 5 01:30 office_test.pcap5
-rwxr-xr-x 1 rstudio rstudio 96M Sep 5 01:30 office_test.pcap6
-rwxr-xr-x 1 rstudio rstudio 96M Sep 5 01:30 office_test.pcap7
-rwxr-xr-x 1 rstudio rstudio 96M Sep 5 01:31 office_test.pcap8
-rwxr-xr-x 1 rstudio rstudio 76M Sep 5 01:31 office_test.pcap9
-rwxr-xr-x 1 rstudio rstudio 954M Sep 5 01:26 Office.pcapngpcap 파일 csv 파일 변환 3.pcap 파일을 데이터 분석이 가능한 csv 즉, 아스키 파일 형태로 변환을 해야 하는데 몇가지 방법이 있다.
pcap 파일을 불러와서 File → Export Packet Dissesctions → AS CSV 내보내는 방법tshark 명령어를 활용하는 방법
mypc.pcap 파일을 -r 불러와서 필드만 추출하고 나서, mypc.csv 파일로 내보내서 저장한다.tshark -r mypc.pcap -T fields -e frame.number -e eth.src -e eth.dst -e ip.src -e ip.dst -e frame.len > mypc.csvbro 명령어로 간단히 아스키 파일로 변환시킨다.bro -r mypc.pcap
tshark설치 5$ sudo apt-get update $ sudo apt-get install tshark