Почему происходит потеря данных при использовании editcap "-d"?
Я использовал editcap с опцией "-d" в большом файле pcapng для удаления дублирующихся пакетов (исходный файл 11 ГБ, новый файл 5 ГБ). После этого я извлек все содержащиеся в нем файлы из обоих pcapng-файлов (с бесплатным Networkminer). Я предположил, что не будет никакой потери данных. Вместо этого, сравнивая две папки извлечения (AssembledFiles), я обнаружил, что в одной из них отсутствовало около 30 файлов. Как это объяснить? Почему удаление повторяющихся пакетов может привести к потере данных?
Я скачал Wireshark из файла " https://www.wireshark.org/download.html": установщик Windows (64-разрядная версия) - стабильная версия 2.6.6 - (v2.6.6-0-gdf942cd8).
Затем я получил editcap (v 2.6.6.0) из папки установки Wireshark.<<...... c: \ Program Files \ Wireshark \......>>
Batch:
<<......
@ эхо выключено
эхо.
эхо.
echo 1. распечатать версию для редактирования
эхо.
"c: \ Program Files \ Wireshark \ editcap.exe" -V
эхо.
эхо.
echo 2. удаление дубликатов пакетов из File.pcapng
эхо.
"c: \ Program Files \ Wireshark \ editcap.exe" -d "File.pcapng" "File_nodup.pcapng"
эхо.
эхо.
echo 3. преобразование File.pcapng и File_nodup.pcapng в формат pcap
echo (чтобы сделать его читаемым для NetworkMiner бесплатно, забыл упомянуть этот шаг...)
эхо.
"c:\Program Files\Wireshark\editcap.exe" -F pcap "File.pcapng" "File.pcap"
эхо.
"c: \ Program Files \ Wireshark \ editcap.exe" -F pcap "File_nodup.pcapng" "File_nodup.pcap"
эхо.
эхо сделано.
Пауза
......>>
Результат:
<<...... Editcap (Wireshark) 2.6.6 (v2.6.6-0-gdf942cd8)
Copyright 1998-2019 Gerald Combs и авторы. Лицензия GPLv2+: GNU GPL версии 2 или более поздней версии http://www.gnu.org/licenses/old-licenses/gpl-2.0.html Это бесплатное программное обеспечение; см. источник для условий копирования. Там нет гарантии; даже не для ИЗДЕЛИИ или ФИТНЕСА ДЛЯ ОСОБЕННОЙ ЦЕЛИ.
Скомпилировано (64-битное) с GLib 2.42.0, с zlib 1.2.11.
Работает на 64-битной Windows 10, сборка 17763, с процессором Intel® Core ™ TM i7-4770 @ 3,40 ГГц (с SSE4.2), 7841 МБ физической памяти, с языковым стандартом C, поддерживаются двоичные плагины (1 загружен).
Построен с использованием Microsoft Visual Studio 2017 (VC++ 14.12, сборка 25835).
- удаление дубликатов пакетов из File.pcapng
13625734 пакетов замечено, 6814005 пакетов пропущено с дублированием окна из 5 пакетов.
- преобразование File.pcapng и File_nodup.pcapng в формат pcap
(чтобы сделать его читаемым для NetworkMiner бесплатно, забыл упомянуть этот шаг...)
сделанный.
......>>
Новая партия:
@ эхо выключено
эхо.
эхо.
echo 1. преобразование File.pcapng в формат pcap
"c:\Program Files\Wireshark\editcap.exe" -F pcap "File.pcapng" "File.pcap"
эхо.
эхо.
echo 2. удаление дубликатов пакетов из File.pcap (параметр "-F pcap" необходим, чтобы избежать повторного преобразования вывода в pcapng...)
"c: \ Program Files \ Wireshark \ editcap.exe" -d -F pcap "File.pcap" "File_nodup.pcap"
эхо.
эхо сделано.