Как конвертировать файлы .pcapng в файлы .pcap / .tcpdump?

3

У меня есть несколько папок по 300-400 файлов. Файлы являются захватами wirehark в формате .pcapng . Я хотел бы написать сценарий оболочки, который открывает каждый файл и сохраняет его в новую папку, используя формат wirehark .tcpdump .

    
задан Pranav Sharma 09.09.2013 в 05:35
источник

1 ответ

5

Хорошо, нашел инструмент, называемый editcap . Вам нужно только вызвать editcap i.pcapng o.pcap в цикл:

# Recursively convert all *.pcapng files to *.pcap
cd /path/to/folders   # the path to folder where your folders containing '*.pcapng' files are in
find . -type f -name '*.pcapng' -print0 | while IFS= read -r -d '' f; do editcap -F libpcap "$f" "${f%.pcapng}.pcap"; done

(поскольку я ленив, я в основном использовал скрипт Radu, кроме добавления двойных кавычек для $ {f% .pcapng} .pcap)

Вы можете проверить руководство по редактированию для получения дополнительных параметров.

Вот пример:

braiam@bt:~/lab$ ls
something.pcapng
braiam@bt:~/lab$ find . -type f -name '*.pcapng' -print0 | while IFS= read -r -d '' f; do editcap -F libpcap "$f" "${f%.pcapng}.pcap"; done
braiam@bt:~/lab$ file something.pcap something.pcapng 
something.pcap:   tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535)
something.pcapng: pcap-ng capture file - version 1.0
braiam@bt:~/lab$ 

Как вы можете видеть, я преобразовал формат pcapng в формат pcap / tcpdump. Изменение расширения является дополнительным.

    
ответ дан Braiam 10.09.2013 в 23:29