pcap 파일의 TCP 세션을 새 pcap 파일로 혼합

pcap파일에서 새 파일로 TCP 세션을 섞어 야 합니다 . 어떻게 해야 합니까? 다음 스크립트는 나에게 작동하지 않습니다.

---

Tshark 또는 Wireshark 혼합 파일의 세션을 사용하려면 pcap다음 단계를 따르십시오.

1. 원본 pcap파일의 이름을 다른 이름으로 바꾸기(선택 사항): 이 단계는 필수는 아니지만 원본 pcap 파일을 추적하는 데 도움이 될 수 있습니다. 다음 명령을 사용하여 파일 이름을 바꿀 수 있습니다.

   mv original.pcap original_original.pcap
   

2. Tshark를 사용하여 원본 pcap 파일에서 개별 세션을 추출합니다. Tshark를 사용하여 다음과 같이 원본 pcap 파일에서 개별 세션을 별도의 pcap 파일로 추출합니다.

   tshark -r original_original.pcap -Y "tcp.stream == X" -w session_X.pcap
   

   X원하는 세션 번호로 바꾸세요 . 추출할 각 세션에 대해 이 명령을 반복하여 X그에 따라 증가합니다.

3. 추출된 pcap 파일 혼합: bash 스크립트를 사용하여 추출된 pcap 파일을 무작위로 새로운 혼합 pcap 파일로 연결합니다. 다음은 mixup_pcap.sh이 shuf명령을 사용하여 파일 이름을 무작위로 섞은 다음 새 파일에 추가하는 예제 스크립트( )입니다 .

   #!/bin/bash
   output_pcap="mixed_sessions.pcap"
   session_files=(session_*.pcap)
   
   # Randomly shuffle the session files
   shuffled_files=($(shuf -e "${session_files[@]}"))
   
   # Concatenate the shuffled pcap files into a new mixed-up pcap file
   for file in "${shuffled_files[@]}"; do
       cat "$file" >> "$output_pcap"
   done
   
   echo "Mixed-up pcap file created: $output_pcap"
   

   위 스크립트를 에 저장하고 mixup_pcap.sh를 사용하여 실행 가능하게 만든 chmod +x mixup_pcap.sh다음 를 사용하여 실행합니다 ./mixup_pcap.sh.

4. 혼합 pcap 파일 분석: mixed_sessions.pcap생성된 혼합 pcap 파일을 Wireshark( )에서 열거나 Tshark를 사용하여 추가로 분석할 수 있습니다.

참고: 위 단계를 수행하려면 시스템에 Tshark가 설치되어 있는지 확인하십시오.

Tshark 또는 Wireshark 혼합 파일의 세션을 사용하려면 pcap다음 단계를 따르십시오.

1. 원본 pcap 파일 이름을 다른 이름으로 바꾸기(선택 사항): 이 단계는 필수는 아니지만 원본 pcap 파일을 추적하는 데 도움이 될 수 있습니다. 다음 명령을 사용하여 파일 이름을 바꿀 수 있습니다.

   mv original.pcap original_original.pcap
   

2. Tshark를 사용하여 pcap원시 파일에서 단일 세션 추출: Tshark를 사용하여 pcap다음과 같이 원시 파일에서 단일 세션을 별도의 pcap 파일로 추출합니다.

   tshark -r original_original.pcap -Y "tcp.stream == X" -w session_X.pcap
   

   X원하는 세션 번호로 바꾸세요 . 추출할 각 세션에 대해 이 명령을 반복하여 X그에 따라 증가합니다.

3. 추출된 파일 혼합 pcap: bash 스크립트를 사용하여 추출된 pcap 파일을 새로운 혼합 pcap 파일로 무작위로 연결합니다. 다음은 mixup_pcap.sh이 shuf명령을 사용하여 파일 이름을 무작위로 섞은 다음 새 파일에 추가하는 예제 스크립트( )입니다 .

   #!/bin/bash
   output_pcap="mixed_sessions.pcap"
   session_files=(session_*.pcap)
   
   # Randomly shuffle the session files
   shuffled_files=($(shuf -e "${session_files[@]}"))
   
   # Concatenate the shuffled pcap files into a new mixed-up pcap file
   for file in "${shuffled_files[@]}"; do
       cat "$file" >> "$output_pcap"
   done
   
   echo "Mixed-up pcap file created: $output_pcap"
   

   위 스크립트를 에 저장하고 mixup_pcap.sh를 사용하여 실행 가능하게 만든 chmod +x mixup_pcap.sh다음 를 사용하여 실행합니다 ./mixup_pcap.sh.

4. 혼합 pcap 파일 분석: mixed_sessions.pcap생성된 혼합 pcap 파일을 Wireshark( )에서 열거나 Tshark를 사용하여 추가로 분석할 수 있습니다.

참고: 위 단계를 수행하려면 시스템에 Tshark가 설치되어 있는지 확인하십시오.