Конвертировать pcap <-> pcap-ng, pcap-ng инструменты / библиотеки

Question

Конвертировать pcap <-> pcap-ng, pcap-ng инструменты / библиотеки

Я ищу информацию о pcap-ng.

В чем разница между pcap-ng и pcap?

Есть ли какой-нибудь инструмент / библиотека для pcap-ng?

Как конвертировать pcap в pcap-ng и pcap-ng в pcap?

5

networking wireshark pcap pcap-ng

Источник

user1892267 01 авг '13 в 13:17

3 ответа

Решение

На PcapNG.com есть некоторая полезная информация о преимуществах и недостатках использования PCAP-NG по сравнению с обычным старым PCAP.

Основное различие между этими двумя форматами состоит в том, что PCAP-NG допускает несколько типов интерфейса и аннотации (то есть комментарии). PCAP-NG также может хранить блоки разрешения имен (т.е. кэшированные записи имени хоста / DNS), что является полезной функцией, но также и проблемой конфиденциальности.

PcapNG.com дополнительно имеет функцию онлайн-конвертации, которая позволяет вам конвертировать любой файл PCAP-NG обратно в формат PCAP.

1

Источник

user2602996 17 ноя '13 в 19:37

Как конвертировать pcap в pcap-ng и pcap-ng в pcap?

[Linux / Wireshark Easy Объяснение]

Гай Харрис ответил очень хорошо, но я остановлюсь на последнем вопросе, так как полагаю, что многие (как и я) пройдены и пройдут здесь в поисках простого объяснения о преобразовании pcapng в pcap (и наоборот). Как упоминал Гай, не все файлы pcap-ng могут быть преобразованы в файлы pcap, потому что editcap может не работать, поэтому просто не сохраняйте ваши пакеты в формате pcapng, но в libcap.

pcapng -> pcap

Сохраните ваши захваченные пакеты в формате libcap ( пример - ссылка ссылается на пример Windows, но в Linux она такая же)

Откройте оболочку на интересующем пути и используйте tcpdump следующим образом

tcpdump -r file_to_convert -w file_converted

(если у вас не установлен tcpdump, просто установите его с помощью "apt-get install tcpdump" или поищите в Google, если у вас другой дистрибутив Linux)

pcap -> pcapng

Откройте файл pcap с помощью Wireshark и сохраните его в формате pcapng. Вы сделали ваше обращение.

Надеюсь, что это может помочь, как это помогло мне.

1

Источник

user2308309 14 окт '13 в 21:16

Другие вопросы по тегам networking wireshark pcap pcap-ng

01 авг '13 в 16:47 2013-08-01 16:47 · Accepted Answer · 2013-08-01 16:47

В чем разница между pcap-ng и pcap?

pcap старше и менее способен чем pcap-ng, но проще. Вот описание формата файла pcap; Вот описание формата файла pcap-ng.

Есть ли какой-нибудь инструмент / библиотека для pcap-ng?

Более новые версии libpcap могут читать некоторые файлы pcap-ng (все интерфейсы должны иметь одинаковый тип заголовка канального уровня и длину снимка, так как libpcap API может предоставлять только один тип заголовка канального уровня и только одну длину снимка для файла), Wireshark включает в себя библиотеку, которая может читать и записывать несколько форматов файлов захвата, включая pcap и pcap-ng, но у него нет стабильного или хорошо документированного API (он будет значительно изменен в следующем основном выпуске Wireshark для лучшей поддержки pcap-ng и других форматов).

Как конвертировать pcap в pcap-ng и pcap-ng в pcap?

Используйте инструмент "editcap", который поставляется с Wireshark. Обратите внимание, что не все файлы pcap-ng могут быть преобразованы в файлы pcap - могут быть преобразованы только файлы, которые могут быть прочитаны libpcap (и они также могут быть преобразованы из pcap-ng в pcap с помощью tcpdump, если tcpdump использует более новую версию libpcap, способный читать файлы pcap-ng).