Я использовал editcap с опцией «-d» в большом файле pcapng для удаления дублирующихся пакетов (исходный файл 11 ГБ, новый файл 5 ГБ).После этого я извлек все содержащиеся в нем файлы из обоих pcapng-файлов (с бесплатным Networkminer).Я предположил, что не будет никакой потери данных.Вместо этого, сравнивая две папки извлечения (AssembledFiles), я обнаружил, что в одной из них отсутствовало около 30 файлов.Как это объяснить?Почему удаление повторяющихся пакетов может привести к потере данных?
Я загрузил Wireshark из "https://www.wireshark.org/download.html" Файл: установщик Windows (64-разрядная версия) - стабильная версия 2.6.6 - (v2.6.6-0-gdf942cd8)
Затем я получил editcap (v 2.6.6.0) из папки установки Wireshark. << ...... c: \ Program Files \ Wireshark \ ...... >>
Пакет:
<< ...… </p>
@ echo off
echo.
echo.
echo 1. версия для печати editcap
echo.
"c: \ Program Files \ Wireshark \ editcap.exe" -V
echo.
echo.
echo 2. удаление дубликатов пакетов из File.pcapng
echo.
"c: \ Program Files \ Wireshark \ editcap.exe" -d "File.pcapng" "File_nodup.pcapng"
эхо.
эхо.
эхо 3. преобразование файла.pcapng и File_nodup.pcapng в формате pcap
echo (чтобы сделать его читаемым для NetworkMiner бесплатно, забыли упомянуть этот шаг ...)
echo.
"c: \ Program Files \ Wireshark \ editcap.exe"-F pcap" File.pcapng "" File.pcap "
echo.
" c: \ Program Files \ Wireshark \ editcap.exe "-F pcap" File_nodup.pcapng "" File_nodup.pcap "
echo.
эхо сделано.
пауза
...... >>
Результат:
<< ...... Editcap (Wireshark) 2.6.6 (v2.6.6-0-gdf942cd8) </p>
Авторские права 1998-2019 Gerald Combs и авторы.Лицензия GPLv2 +: GNU GPL версии 2 или более поздней http://www.gnu.org/licenses/old-licenses/gpl-2.0.html Это бесплатное программное обеспечение;см. источник для условий копирования.Там нет гарантии;даже для MERCHANTABILITY или FITNESS ДЛЯ ОСОБЕННОСТИ17763, с процессором Intel® Core Core (TM) i7-4770 @ 3.40 ГГц (с SSE4.2), с 7841 МБ физической памяти, с языковым стандартом C, с поддержкой двоичных плагинов (загружен 1).
Построен с использованием Microsoft Visual Studio 2017 (VC ++ 14.12, сборка 25835).
удаление повторяющихся пакетов из File.pcapng
13625734 просмотренных пакетов, 6814005 пакетов пропущено с дублированием окна из 5 пакетов.
преобразование File.pcapng и File_nodup.pcapng в формат pcap
(чтобы сделать его читаемым для NetworkMiner бесплатно, забыли упомянуть этот шаг ...)
сделано.
...... >>
Новая партия:
@ echo off
echo.
echo.
echo 1. преобразование File.pcapng в формат pcap
"c: \ Program Files \ Wireshark \ editcap.exe" -F pcap "File.pcapng" "File.pcap"
echo.
echo.
echo 2. удаление повторяющихся пакетов из File.pcap (параметр "-F pcap" необходим, чтобы избежать повторного преобразования вывода в pcapng ...)
"c: \ ProgramFiles \ Wireshark \ editcap.exe "-d -F pcap" File.pcap "" File_nodup.pcap "
echo.
эхо сделано.