Невозможно выполнить tcpreplay отредактированного файла wireshark

Question

Невозможно выполнить tcpreplay отредактированного файла wireshark

Что я сделал -

Получил проволочный захват интернет-трафика.
Отредактировал файл захвата, чтобы удалить один запрос GET. (удалил эту строку, используя editcap)
Сохраненный отредактированный файл (из шага 2)
Сделал tcpreplay из этого файла.

Когда я это делаю, я получаю сообщение об ошибке: Неустранимая ошибка: Ошибка при открытии файла pcap: неверный формат файла дампа.

Есть какие-то отзывы о том, что может быть не так? Я делаю что-то не так, как я отредактировал мой pcap-файл wireshark?

спасибо Энди

1

wireshark tcpreplay editcap

Источник

user1593170 30 окт '15 в 17:26

1 ответ

Другие вопросы по тегам wireshark tcpreplay editcap

user615549 31 окт '15 в 13:57 2015-10-31 13:57 · Answer 1 · 2015-10-31 13:57

Тип вывода файла захвата editcap по умолчанию - pcapng.

Быстрый просмотр документации tcpreplay показывает упоминания только о формате libpcap (а не pcapng).

Итак: Возможно, решение состоит в том, чтобы указать опцию '-F pcap' для editcap, чтобы указать формат вывода файла захвата как формат libpcap.

Обновить:

Из FAQ по tcpreplay:

"Поддерживает ли Tcpreplay файлы Pcap-Ng/NTAR?

Да. Пакет Tcpreplay использует libpcap для чтения и записи файлов pcap. Если у вас libpcap 1.1.0 или выше, то tcpreplay, tcprewrite и т. Д. Могут читать файлы pcap-ng. Если у вас более старая версия libpcap, вам следует обновить ее до последней версии, поскольку в более ранних версиях libpcap есть ошибки с файлами pcap-ng. "

Итак: (при условии, что вы используете версию libpcap >= 1.1.0), я не уверен, в чем проблема. Вы все еще можете попробовать указать формат вывода pcap, чтобы увидеть, если это имеет значение.

Также: Вы можете прочитать оригинальный файл захвата (до редактирования) с помощью tcpreplay? (Каков формат исходного файла? (Используйте "имя файла capinfos", чтобы определить тип файла).