Nota*: El procedimiento es válido tanto para GNU/Linux como para Windows.
Un buen administrador de sistemas debe conocer el uso de la herramienta TCPDump y Wireshark si quiere conseguir averiguar cual es el problema que está causando el mal rendimiento de su red.
Muchas veces, los administradores, hacemos capturas de red de forma manual para analizarlas en el mismo instante, pero ...¿que sucede si tenemos un script que nos hace decenas de capturas de red cada X paquetes o cada X MB?
Lo que querremos hacer será abrir un único fichero de tcpdump y no trabajar con 200 ficheros de tcpdump ¿verdad?
Pero, ¿como hacemos esto?
Veamos un ejemplo real que acabo de preparar para este tutorial, he realizado 3 capturas de pequeño tamaño una detrás de otra:
Listado ficheros PCAP
Debemos tener instalado Wireshark en nuestro equipo, ya que Wireshark es quién proporciona las herramientas para hacer el MERGE de las capturas de red.
El comando para hacer el merge (la unión) se llama mergecap.
Las capturas de red están guardadas en C:\CAPTURAS\ por tanto usaré el siguiente comando para juntar las 3 capturas en una captura única:
C:\>"Archivos de programa\Wireshark\mergecap.exe" C:\CAPTURAS\file*.pcap -w C:\CAPTURAS\captura_final.pcap
Listado ficheros PCAP
En Linux el procedimiento es el mismo. tengo las capturas de red en /tmp/ y usaré el mismo comando que en Windows, mergecap.
Listado ficheros PCAP en Linux
$ mergecap /tmp/file*.pcap -w /tmp/fichero_final.pcap
Listado ficheros PCAP en Linux
El fichero resultante será la concatenación de los ficheros pcap que hemos seleccionado. Podremos abrir sin problema dicha captura de red desde Wireshark, tanto en GNU/Linux como en Windows.
Primero debemos sacar el total de paquetes que tiene la captura, para ello lanzaremos el siguiente comando:
Queremos dividir un fichero de 3GB en 10 partes:
Captura completa
C:\>"Archivos de programa\Wireshark\capinfos.exe" c:\CAPTURAS\completo.pcap
Info de PCAP en Windows
Ahora, para dividir la captura lo que haremos será, por ejemplo para dividirlo en 10 partes, dividimos los paquetes por 10 y lanzamos el siguiente comando:
C:\>"Archivos de programa\Wireshark\editcap.exe" -c11800 c:\CAPTURAS\completo.pcap c:\CAPTURAS\dividido.pcap
En Linux el procedimiento es idéntico al de Windows.
Calculamos el total de paquetes que tiene la captura:
$ capinfos /tmp/completo.pcap
Info de PCAP en Linux
Dividimos en 10 partes aprox:
$ editcap -c 11800 /tmp/completo.pcap /tmp/dividido.pcap
Fichero PCAP dividido en partes
ENJOY!
Si quieres ir rápido, ve solo. Si quieres llegar lejos, ve acompañado.
Comentarios
De todas formas puedes hacerlo también desde Wireshark desde File->Merge, aunque es una tarea de "chinos".
¿Realmente tienes 850.000 ficheros? ¿Qué tamaño tienen los ficheros y por qué esa cantidad tan asombrosas de ellos?
Un saludo
Se realizó una captura larga de wireshark y se generaron más de 50 archivos. Estoy tratando de seguir sus indicaciones pero no soy capaz de generar un archivo único con todas ellas. Serían tan amables de ayudarme.
Saludos,
¿Qué problema tienes en concreto? En el tutorial he puesto 2 ejemplos de como juntar de 1 a N capturas de wireshark en solo una:
Windows:
C:\>"Archivos de programa\Wireshark\mergecap.exe" C:\CAPTURAS\file*.pcap -w C:\CAPTURAS\captura_final.pcap
Linux:
$ mergecap /tmp/file*.pcap -w /tmp/fichero_final.pcap
Si no me das mas detalles no puedo saber que puede estar fallando...
Un saludo
El arcivo pcap lo puedes abrir con Wireshark https://www.wireshark.org/, aunque no es un fichero fácil de entender y hay que tener conocimientos de Wireshark y redes. Aparte, no todo el tráfico capturado se puede "descrifrar" .... hoy en día casi todo el contenido de los paquetes van cifrados.
Lo que si puedes es analizar el tráfico y ver si hay problemas de red, pero com ote digo, Wireshark es una herramienta avanzada de Networking.
Un saludo
amigo como hago para desifrar los exadecimal del pcap agradeceria tu ayuda muchas gracias
El arcivo pcap lo puedes abrir con Wireshark https://www.wireshark.org/, aunque no es un fichero fácil de entender y hay que tener conocimientos de Wireshark y redes. Aparte, no todo el tráfico capturado se puede "descrifrar" .... hoy en día casi todo el contenido de los paquetes van cifrados.
Lo que si puedes es analizar el tráfico y ver si hay problemas de red, pero com ote digo, Wireshark es una herramienta avanzada de Networking.
Un saludo