반응형
WireShark에 있는 도구인 editcap을 사용하는 법을 익혀보려 한다. editcap에는 다음과 같이 꽤 많은 기능이 있다.
위와 같이 많은 기능들이 있는데, 일단 파일의 포맷을 pcapng -> pcap 으로 변환시키는 법과 패킷 캡처 파일을 특정 단위로 쪼개는 법을 포스팅하려 한다.
먼저, pcapng 파일을 pcap 파일로 변환시키는 옵션이다.
사용법은 간단하다. F 옵션을 사용하면 되는데, 다음과 같다.
윈도우 :
~\"WireShark 설치 폴더"\editcap.exe -F [변환시키고 싶은 포맷 형태] [~.pcapng] [~.pcap]
리눅스 :
editcap -F [변환시키고 싶은 포맷 형태] [~.pcapng] [~.pcap]
두 번째는 패킷의 용량이 너무 커서 분석하기가 힘들 때 사용하기 좋은 방법이다. c 옵션을 사용해서 패킷을 나누어 저장할 수 있다.
윈도우 :
~\"WireShark 설치 폴더"\editcap.exe -c [단위] [~.pcap]
리눅스 :
editcap -c [단위] [~.pcap]
일단, editcap 의 간단한 두가지 사용방법을 알아보았다. 다른 사용법도 차차 정리하도록 하겠다.
반응형
'Tools Repository' 카테고리의 다른 글
| Zip 파일 패스워드 크랙 (feat. zip2john & hashcat) (0) | 2018.11.21 |
|---|---|
| binwalk 설치 및 사용 예제 (0) | 2018.01.29 |
| Angr 란? (0) | 2018.01.14 |
| pcapfix 사용하기 (0) | 2017.11.01 |
| dpkt 사용하기 (0) | 2017.10.11 |