• Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Mi Blog
✂ Cómo juntar y dividir ficheros pcap

✂ Cómo juntar y dividir ficheros pcap

Nota*: El procedimiento es válido tanto para GNU/Linux como para Windows.

Un buen administrador de sistemas debe conocer el uso de la herramienta TCPDump y Wireshark si quiere conseguir averiguar cual es el problema que está causando el mal rendimiento de su red.

Muchas veces, los administradores, hacemos capturas de red de forma manual para analizarlas en el mismo instante, pero ...¿que sucede si tenemos un script que nos hace decenas de capturas de red cada X paquetes o cada X MB?


Lo que querremos hacer será abrir un único fichero de tcpdump y no trabajar con 200 ficheros de tcpdump ¿verdad?

Pero, ¿como hacemos esto?

Veamos un ejemplo real que acabo de preparar para este tutorial, he realizado 3 capturas de pequeño tamaño una detrás de otra:

Juntar y dividir fichero Pcap

Listado ficheros PCAP

Debemos tener instalado Wireshark en nuestro equipo, ya que Wireshark es quién proporciona las herramientas para hacer el MERGE de las capturas de red.

JUNTAR LAS CAPTURAS DE RED EN WINDOWS

El comando para hacer el merge (la unión) se llama mergecap.

Las capturas de red están guardadas en C:\CAPTURAS\ por tanto usaré el siguiente comando para juntar las 3 capturas en una captura única:

C:\>"Archivos de programa\Wireshark\mergecap.exe" C:\CAPTURAS\file*.pcap -w C:\CAPTURAS\captura_final.pcap

Juntar y dividir fichero Pcap

Listado ficheros PCAP

JUNTAR LAS CAPTURAS DE RED EN GNU/LINUX

En Linux el procedimiento es el mismo. tengo las capturas de red en /tmp/ y usaré el mismo comando que en Windows, mergecap.

Juntar y dividir fichero Pcap

Listado ficheros PCAP en Linux

$ mergecap /tmp/file*.pcap -w /tmp/fichero_final.pcap

Juntar y dividir fichero Pcap

Listado ficheros PCAP en Linux

El fichero resultante será la concatenación de los ficheros pcap que hemos seleccionado. Podremos abrir sin problema dicha captura de red desde Wireshark, tanto en GNU/Linux como en Windows.

DIVIDIR UNA CAPTURA DE TCPDUMP EN WINDOWS

Primero debemos sacar el total de paquetes que tiene la captura, para ello lanzaremos el siguiente comando:

Queremos dividir un fichero de 3GB en 10 partes:

Juntar y dividir fichero Pcap

Captura completa

C:\>"Archivos de programa\Wireshark\capinfos.exe" c:\CAPTURAS\completo.pcap

Juntar y dividir fichero Pcap

Info de PCAP en Windows

Ahora, para dividir la captura lo que haremos será, por ejemplo para dividirlo en 10 partes, dividimos los paquetes por 10 y lanzamos el siguiente comando:

 C:\>"Archivos de programa\Wireshark\editcap.exe" -c11800 c:\CAPTURAS\completo.pcap c:\CAPTURAS\dividido.pcap

DIVIDIR UNA CAPTURA DE TCPDUMP EN GNU/LINUX

En Linux el procedimiento es idéntico al de Windows.

Calculamos el total de paquetes que tiene la captura:

$ capinfos /tmp/completo.pcap

Juntar y dividir fichero Pcap

Info de PCAP en Linux

Dividimos en 10 partes aprox:

$ editcap -c 11800 /tmp/completo.pcap /tmp/dividido.pcap

Juntar y dividir fichero Pcap

Fichero PCAP dividido en partes

ENJOY!


Raúl Prieto Fernández

Sitio Web: /

Si quieres ir rápido, ve solo. Si quieres llegar lejos, ve acompañado.

Comentarios  

HECTOR ROMAN
# HECTOR ROMAN 08-05-2016 20:45
Estimado una consulta, sabes cual es la cantidad maxima de archivos que puede tolerar la utilidad mergecap, tengo 850.000 archivos :S
Responder
Ral Prieto Fernndez
# Raúl Prieto Fernández 10-05-2016 18:35
Hola Hector: Pues desconozco el límite de ficheros de mergecap.

De todas formas puedes hacerlo también desde Wireshark desde File->Merge, aunque es una tarea de "chinos".

¿Realmente tienes 850.000 ficheros? ¿Qué tamaño tienen los ficheros y por qué esa cantidad tan asombrosas de ellos?

Un saludo
Responder
Xavier
# Xavier 07-06-2017 16:37
Buenas tardes,

Se realizó una captura larga de wireshark y se generaron más de 50 archivos. Estoy tratando de seguir sus indicaciones pero no soy capaz de generar un archivo único con todas ellas. Serían tan amables de ayudarme.

Saludos,
Responder
Ral Prieto Fernndez
# Raúl Prieto Fernández 07-06-2017 21:53
Hola Xavier:

¿Qué problema tienes en concreto? En el tutorial he puesto 2 ejemplos de como juntar de 1 a N capturas de wireshark en solo una:

Windows:

C:\>"Archivos de programa\Wireshark\mergecap.exe" C:\CAPTURAS\file*.pcap -w C:\CAPTURAS\captura_final.pcap



Linux:


$ mergecap /tmp/file*.pcap -w /tmp/fichero_final.pcap

Si no me das mas detalles no puedo saber que puede estar fallando... :D :D

Un saludo
Responder
camilo
# camilo 03-04-2018 20:34
amigo una consulta como hago para desifrar ese archivo .pcap ya que me arroja en exadecimal te agradeceria tu ayuda
Responder
Ral Prieto Fernndez
# Raúl Prieto Fernández 04-04-2018 09:57
Hola Camilo:

El arcivo pcap lo puedes abrir con Wireshark https://www.wireshark.org/, aunque no es un fichero fácil de entender y hay que tener conocimientos de Wireshark y redes. Aparte, no todo el tráfico capturado se puede "descrifrar" .... hoy en día casi todo el contenido de los paquetes van cifrados.

Lo que si puedes es analizar el tráfico y ver si hay problemas de red, pero com ote digo, Wireshark es una herramienta avanzada de Networking.

Un saludo
Responder
camilo
# camilo 03-04-2018 20:35
buen dia

amigo como hago para desifrar los exadecimal del pcap agradeceria tu ayuda muchas gracias
Responder
Ral Prieto Fernndez
# Raúl Prieto Fernández 04-04-2018 09:57
Hola Camilo:

El arcivo pcap lo puedes abrir con Wireshark https://www.wireshark.org/, aunque no es un fichero fácil de entender y hay que tener conocimientos de Wireshark y redes. Aparte, no todo el tráfico capturado se puede "descrifrar" .... hoy en día casi todo el contenido de los paquetes van cifrados.

Lo que si puedes es analizar el tráfico y ver si hay problemas de red, pero com ote digo, Wireshark es una herramienta avanzada de Networking.

Un saludo
Responder

Escribir un comentario

Información básica sobre Protección de Datos

Responsable: Raúl Prieto Fernández +info

Finalidad: Moderar los comentarios a los artículos publicados en el blog. +info

Legitimación: Consentimiento del interesado +info

Destinatarios: No se comunicarán datos a persona u organización alguna. +info +info

Derechos: Tiene derecho a Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional. +info

Plazo de conservación de los datos: Hasta que no se solicite su supresión por el interesado.

Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos Personales en mi página web raulprietofernandez.net +info

Código de seguridad
Refescar


LOGIN / ENTRAR

BUSCAR EN EL BLOG

TWITTER TIMELINE

Booking.com

ENCUESTA

¿Cual es el mejor Sistema Operativo?

Como es lógico, esta web utiliza cookies propias y de terceros para elaborar información estadística y mostrar publicidad personalizada a través del análisis de tu navegación, conforme a la política de cookies.

  Si continúas navegando, aceptas su uso.