editcap(1) – Linux manualsida

Namn

editcap – redigera och/eller översätt formatet för fångstfiler.

Synopsis

editcap [ -a <ram:kommentar> ] [ -A <starttid> ] [ -B <stopptid> ]
        [ -c <paket per fil> ] [ -C [offset:]<chopplängd> ]
        [ -E <felsannolikhet> ] [ -F <filformat> ]
        [ -i <sekunder per fil> ] [ -o <ändrings-offset> ] [ -L ]
        [ -r ] [ -R <ram:tidsstämpel> ] [ -s <snaplen> ]
        [ -S <strikt tidsjustering> ] [ -t <tidsjustering> ]
        [ -T <inkapslingstyp> ] [ -V ]
        [ --inject-secrets <hemlighetstyp>,<fil> ]
        [ --discard-all-secrets ]
        [ --capture-comment <kommentar> ]
        [ --discard-capture-comment ]
        [ --discard-packet-comments ]
        [ --preserve-packet-comments ]
        infil utfil [ paketnummer[-paketnummer] ... ]

editcap -d -D <dupliceringsfönster> -w <dupliceringstidsfönster>
        [ -V ] [ -I <byte att ignorera> ]
        [ --skip-radiotap-header ] [ --set-unused ] infil utfil

editcap --extract-secrets [ -V ] infil utfil

editcap -h|--help

editcap -v|--version

Beskrivning

editcap är ett program som läser några eller alla fångade paket från infil, eventuellt konverterar dem på olika sätt, och skriver de resulterande paketen till fångstfilen utfil eller flera utdatafiler.

Som standard läser programmet alla paket från infil och skriver dem till utfil i filformatet pcapng. Använd - som infil eller utfil för att läsa från standard in respektive skriva till standard ut.

Flaggorna -A och -B gör det möjligt att begränsa tidsintervallet från vilket paket läses från infil.

En valfri lista med paketnummer kan anges i slutet av kommandot. Enskilda paketnummer kan separeras med blanktecken, och intervall kan anges som start-slut, vilket avser alla paket från start till slut. Som standard kommer de valda paketen med dessa nummer inte att skrivas till fångstfilen. Om flaggan -r anges vänds hela paketvalet; i så fall skrivs endast de valda paketen till fångstfilen.

editcap kan också användas för att ta bort duplicerade paket. Flera olika flaggor, -d, -D och -w, används för att styra paketfönstret eller det relativa tidsfönstret som används vid jämförelse av dubbletter.

editcap kan användas för att tilldela kommentarssträngar till ramnummer.

editcap kan upptäcka, läsa och skriva samma fångstfiler som stöds av Wireshark. Indatafilen behöver inte ha någon särskild filändelse; filformatet och eventuell komprimering med gzip, zstd eller lz4 identifieras automatiskt. I början av beskrivningsdelen i wireshark(1) eller på:

• https://www.wireshark.org/docs/man-pages/wireshark.html

finns en mer detaljerad beskrivning av hur Wireshark hanterar detta, vilket är samma sätt som editcap använder.

editcap kan skriva filen i flera utdataformat. Flaggan -F kan användas för att ange vilket format fångstfilen ska skrivas i. Kommandot editcap -F visar en lista över tillgängliga utdataformat. editcap kan också komprimera utdatafilen. Flaggan --compress kan ange komprimeringstypen. Om den flaggan inte anges härleds önskad komprimeringsmetod, om någon, från filändelsen på utfil. Till exempel används gzip-formatet om utdatafilens namn slutar med .gz.

editcap kan också användas för att extrahera inbäddade dekrypteringshemligheter från filformat som pcapng, i stället för att skriva en fångstfil.

Flaggor

-a <ramnummer:kommentar>

Tilldela den angivna kommentarssträngen till det angivna ramnumret. Flaggan kan upprepas för flera ramar. Endast den sista kommentarssträngen för varje unikt ramnummer som anges på kommandoraden sparas. Citattecken bör användas runt kommentarer som innehåller mellanslag.

Som standard ersätter flaggan -a alla paketkommentarer för det angivna ramnumret. Lägg till flaggan --preserve-packet-comment på kommandoraden för att bevara redan befintliga paketkommentarer.

-A <starttid>

Läs endast paket vars tidsstämpel är på eller efter <starttid>. Tiden kan anges antingen i ISO 8601-format eller i Unix-epoch-format.

ISO 8601-format är antingen:

YYYY-MM-DD HH:MM:SS[.nnnnnnnnn][Z|±hh:mm]

eller:

YYYY-MM-DDTHH:MM:SS[.nnnnnnnnn][Z|±hh:mm]

Bråkdelar av sekunder är valfria, liksom tidszonsavvikelsen från UTC. Om tidszonsavvikelse saknas antas lokal tid.

Unix-epoch-format anges i sekunder sedan Unix-epoch och nanosekunder, med antingen punkt eller komma som avskiljare mellan sekunder och nanosekunder. Nanosekunderna är valfria. Unix-epoch är 1970-01-01 00:00:00 UTC, så detta format är inte lokal tid.

-B <stopptid>

Läs endast paket vars tidsstämpel är före <stopptid>. Tiden kan anges antingen i ISO 8601-format eller i Unix-epoch-format.

ISO 8601-format är antingen:

YYYY-MM-DD HH:MM:SS[.nnnnnnnnn][Z|±hh:mm]

eller:

YYYY-MM-DDTHH:MM:SS[.nnnnnnnnn][Z|±hh:mm]

Bråkdelar av sekunder är valfria, liksom tidszonsavvikelsen från UTC. Om tidszonsavvikelse saknas antas lokal tid.

Unix-epoch-format anges i sekunder sedan Unix-epoch och nanosekunder, med antingen punkt eller komma som avskiljare mellan sekunder och nanosekunder. Nanosekunderna är valfria. Unix-epoch är 1970-01-01 00:00:00 UTC, så detta format är inte lokal tid.

-c <paket per fil>

Dela upp paketutdata i olika filer baserat på jämna paketantal, med högst <paket per fil> paket i varje fil.

Varje utdatafil skapas med ett infix av formen _nnnnn[_YYYYmmddHHMMSS] infogat före filändelsen, som kan saknas, i utfil. Infixet består av utdatafilens ordningsnummer, med start på 00000, följt av tidsstämpeln för dess första paket. Tidsstämpeln utelämnas om indatafilen saknar tidsstämpelinformation.

När det angivna antalet paket har skrivits till utdatafilen öppnas nästa utdatafil. Standard är att använda en enda utdatafil. Denna flagga står i konflikt med -i.

-C [offset:]<chopplängd>

Anger den kapningslängd som ska användas när paketdata skrivs. Varje paket kapas med <chopplängd> byte. Positiva värden kapar i början av paketet, medan negativa värden kapar i slutet av paketet.

Om en valfri offset anges före <chopplängd> kommer de kapade byten att förskjutas från detta värde. Positiva offsetvärden räknas från paketets början, medan negativa offsetvärden räknas från paketets slut.

Detta är användbart för att kapa huvuden vid avinkapsling av en hel fångst, ta bort tunnelhuvuden, eller i sällsynta fall där konvertering mellan två filformat lämnar slumpmässiga byte i slutet av varje paket. En annan användning är att ta bort VLAN-taggar.

Observera: Denna flagga kan användas mer än en gång. Det gör det i praktiken möjligt att kapa byte från upp till två olika områden i ett paket i en enda körning, förutsatt att minst en kapningslängd anges som positivt värde och minst en som negativt värde. Alla positiva kapningslängder adderas, och alla negativa kapningslängder adderas.

-d

Försöker ta bort duplicerade paket. Längden och MD5-hashen för det aktuella paketet jämförs med de föregående fyra paketen. Om en matchning hittas hoppas det aktuella paketet över. Denna flagga motsvarar -D 5.

-D <dupliceringsfönster>

Försöker ta bort duplicerade paket. Längden och MD5-hashen för det aktuella paketet jämförs med de föregående <dupliceringsfönster> - 1 paketen. Om en matchning hittas hoppas det aktuella paketet över.

Kombinationen -D 0 och -V är användbar eftersom varje pakets paketnummer, längd och MD5-hash skrivs till standard error. Denna utförliga utdata, särskilt MD5-hashsträngarna, kan användas i skript för att identifiera duplicerade paket mellan spårfiler.

<dupliceringsfönster> anges som ett heltalsvärde mellan 0 och 1000000, inklusive.

Observera: Stora värden för <dupliceringsfönster> tillsammans med stora spårfiler kan ge mycket långa behandlingstider för editcap.

-E <felsannolikhet>

Anger sannolikheten att byte i utdatafilen ändras slumpmässigt. editcap använder denna sannolikhet, mellan 0.0 och 1.0 inklusive, för att tillämpa fel på varje databyte i filen. Till exempel betyder sannolikheten 0.02 att varje byte har 2 % chans att få ett fel.

Denna flagga är avsedd för fuzz-testning av protokolldissektorer.

-F <filformat>

Anger filformatet för utdatafångstfilen. editcap kan skriva filen i flera format. editcap -F visar en lista över tillgängliga utdataformat. Standardformatet är pcapng.

-h|--help

Skriv ut versionsnummer och flaggor och avsluta.

-i <sekunder per fil>

Dela upp paketutdata i olika filer baserat på jämna tidsintervall, med ett högsta intervall på <sekunder per fil> för varje fil. Flyttalsvärden, till exempel 0.5, är tillåtna.

Varje utdatafil skapas med ett infix av formen _nnnnn[_YYYYmmddHHMMSS] infogat före filändelsen, som kan saknas, i utfil. Infixet består av utdatafilens ordningsnummer, med start på 00000, följt av tidsstämpeln för dess första paket. Tidsstämpeln utelämnas om indatafilen saknar tidsstämpelinformation.

När paket för det angivna tidsintervallet har skrivits till utdatafilen öppnas nästa utdatafil. Standard är att använda en enda utdatafil. Denna flagga står i konflikt med -c.

-I <byte att ignorera>

Ignorera det angivna antalet byte i början av ramen vid MD5-hashberäkning, om inte ramen är för kort; då används hela ramen. Detta är användbart för att ta bort duplicerade paket som tagits på flera routrar, till exempel med olika MAC-adresser. Exempelvis ignorerar -I 26 vid Ether/IP Ethernet-huvudet, 14 byte, och IP-huvudet, 20 byte minus 4 byte käll-IP minus 4 byte destinations-IP. Standardvärdet är 0.

-L

Justera den ursprungliga ramlängden i enlighet med kapning och/eller snapning. Detta sker utöver den fångade längden, som alltid justeras oavsett om -L anges eller inte. Se även -C <chopplängd> och -s <snaplen>.

-o <ändrings-offset>

När den används tillsammans med -E, hoppa över ett antal byte från början av paketet så att de inte ändras. På så sätt kan vissa huvuden lämnas oförändrade, och fuzzningen fokuseras på en mindre del av paketet. Genom att hålla en del av paketet oförändrad triggas samma dissektor, vilket gör fuzzningen mer precis.

-r

Vänd paketvalet. Gör att de paket vars paketnummer anges på kommandoraden skrivs till utdatafångstfilen i stället för att kastas bort.

-R <ramnummer:tidsstämpel>

Tilldela den angivna tidsstämpeln till det angivna ramnumret. Flaggan kan upprepas för flera ramar.

Tiden kan anges antingen i ISO 8601-format eller i Unix-epoch-format.

ISO 8601-format är antingen:

YYYY-MM-DD HH:MM:SS[.nnnnnnnnn][Z|±hh:mm]

eller:

YYYY-MM-DDTHH:MM:SS[.nnnnnnnnn][Z|±hh:mm]

Bråkdelar av sekunder är valfria, liksom tidszonsavvikelsen från UTC. Om tidszonsavvikelse saknas antas lokal tid.

Unix-epoch-format anges i sekunder sedan Unix-epoch och nanosekunder, med antingen punkt eller komma som avskiljare mellan sekunder och nanosekunder. Nanosekunderna är valfria. Unix-epoch är 1970-01-01 00:00:00 UTC, så detta format är inte lokal tid.

-s <snaplen>

Anger snapshot-längden som ska användas när data skrivs. Om flaggan -s används för att ange en snapshot-längd kommer paket i indatafilen med mer fångade data än den angivna snapshot-längden endast att få den mängd data som anges av snapshot-längden skriven till utdatafilen.

Detta kan vara användbart om programmet som ska läsa utdatafilen inte kan hantera paket större än en viss storlek. Till exempel verkar versioner av snoop i Solaris 2.5.1 och Solaris 2.6 avvisa Ethernet-paket större än standard-Ethernet-MTU, vilket gör dem oförmögna att hantera gigabit-Ethernet-fångster om jumbo-paket användes.

--seed <frö>

När den används tillsammans med -E, ange fröet för pseudoslumptalsgeneratorn. Detta är användbart för att återskapa en viss sekvens av fel.

--skip-radiotap-header

Hoppa över radiotap-huvudet i varje ram vid kontroll av paketdubbletter. Detta är användbart vid bearbetning av en fångst som skapats genom att kombinera utdata från flera fångstenheter på samma kanal i närheten av varandra.

-S <strikt tidsjustering>

Tidsjustera valda paket för att säkerställa strikt kronologisk ordning.

Värdet <strikt tidsjustering> representerar relativa sekunder angivna som sekunder[.bråkdelar av sekunder].

När fångstfilen behandlas kan varje pakets absoluta tid justeras så att den är lika med eller större än föregående pakets absoluta tidsstämpel, beroende på värdet för <strikt tidsjustering>.

Om värdet är 0 eller större, till exempel 0.000001, justeras endast paket vars tidsstämpel är mindre än föregående pakets tidsstämpel. Den justerade tidsstämpeln sätts till föregående pakets tidsstämpel plus värdet för <strikt tidsjustering>. Värdet 0 justerar minsta antal tidsstämplar som krävs för att säkerställa att den resulterande fångstfilen är i strikt kronologisk ordning.

Om värdet anges som negativt justeras tidsstämplarna för alla paket så att de är lika med föregående pakets tidsstämpel plus absolutvärdet av <strikt tidsjustering>. Värdet -0 gör att alla paket får samma tidsstämpel som det första paketet.

Funktionen är användbar när spårfilen ibland har paket med negativ deltatid relativt föregående paket.

-t <tidsjustering>

Anger tidsjusteringen som ska användas på valda paket. Om flaggan -t används tillämpas den angivna justeringen på alla valda paket i fångstfilen. Justeringen anges som sekunder[.bråkdelar av sekunder]. Till exempel flyttar -t 3600 tidsstämpeln för valda paket en timme framåt, medan -t -0.5 minskar tidsstämpeln med en halv sekund.

Funktionen är användbar när dumpar som samlats in på olika maskiner ska synkroniseras och tidsskillnaden mellan maskinerna är känd eller kan uppskattas.

-T <inkapslingstyp>

Anger paketinkapslingstypen för utdatafångstfilen. Om flaggan -T används tvingas inkapslingstypen för utdatafångstfilen till den angivna typen. editcap -T visar en lista över tillgängliga typer. Standardtypen är den som passar inkapslingstypen i indatafångstfilen.

Observera: Detta tvingar endast inkapslingstypen för utdatafilen till den angivna typen. Paketens paket­huvuden översätts inte från indatafångstfilens inkapslingstyp till den angivna inkapslingstypen. Exempelvis översätts inte en Ethernet-fångst till en FDDI-fångst om en Ethernet-fångst läses och -T fddi anges. Om du behöver ta bort eller lägga till huvuden i ett paket behöver du använda od(1) eller text2pcap(1).

-v|--version

Skriv ut fullständig versionsinformation och avsluta.

-V

Gör att editcap skriver utförliga meddelanden medan det arbetar.

När -V används med avdupliceringsflaggorna -d, -D eller -w skrivs alla MD5-hashar ut, oavsett om paketet hoppas över eller inte.

-w <dupliceringstidsfönster>

Försöker ta bort duplicerade paket. Det aktuella paketets ankomsttid jämförs med upp till 1 000 000 tidigare paket. Om paketets relativa ankomsttid är mindre än eller lika med <dupliceringstidsfönster> för ett tidigare paket, och paketlängden och MD5-hashen för det aktuella paketet är samma, hoppas paketet över. Dubblettjämförelsen avbryts när det aktuella paketets relativa ankomsttid är större än <dupliceringstidsfönster>.

<dupliceringstidsfönster> anges som sekunder[.bråkdelar av sekunder].

Komponenten med bråkdelar av sekunder kan anges med upp till nio decimaler, alltså miljarddelar av en sekund, men de flesta typiska spårfiler har upplösning på sex decimaler, alltså miljondelar av en sekund.

Observera: Stora värden för <dupliceringstidsfönster> tillsammans med stora spårfiler kan ge mycket långa behandlingstider för editcap.

Observera: Flaggan -w antar att paketen är i kronologisk ordning. Om paketen inte är i kronologisk ordning kan dubblettborttagningen med -w missa vissa dubbletter.

--inject-secrets <hemlighetstyp>,<fil>

Infogar innehållet i <fil> i ett Decryption Secrets Block, DSB, i pcapng-utdatafilen. Detta möjliggör dekryptering utan att ytterligare konfiguration krävs i protokollinställningarna.

Filformatet beskrivs av <hemlighetstyp>, som kan vara ett av följande:

opcua

OPC UA Key Log. Se:

https://ietf-opsawg-wg.github.io/draft-ietf-opsawg-pcap/draft-ietf-opsawg-pcapng.html#name-decryption-secrets-block

ssh

SSH Key Log. Se:

https://wiki.wireshark.org/SSH#key-log-format

tls

TLS Key Log. Se:

https://tlswg.org/sslkeylogfile/draft-ietf-tls-keylogfile.html

wg

WireGuard Key Log. Se:

https://wiki.wireshark.org/WireGuard#key-log-format

esp

ESP SA Key. Se filen esp_sa i din profilkatalog och:

https://ietf-opsawg-wg.github.io/draft-ietf-opsawg-pcap/draft-ietf-opsawg-pcapng.html#name-decryption-secrets-block

Denna flagga kan anges flera gånger. Tillgängliga alternativ för <hemlighetstyp> kan listas med:

--inject-secrets help

--extract-secrets

Extraherar varje Decryption Secrets Block, DSB, som finns i infil. Om det bara finns ett skrivs det till utfil i stället för till en fångstfil. Om det finns fler än ett skrivs varje block till en unik utdatafil, namngiven med ett infix _nnnnn före filändelsen i utfil, på ett sätt som liknar flaggan -c, såvida inte standard ut används.

Denna flagga är inkompatibel med andra flaggor förutom -V.

--discard-all-secrets

Kasta bort alla dekrypteringshemligheter från indatafilen när utdatafilen skrivs. Hemligheter som läggs till med --inject-secrets på samma kommandorad kastas inte bort.

--capture-comment <kommentar>

Lägg till den angivna kommentaren i utdatafilen, om utdataformatet stöder detta. Nya kommentarer läggs till efter eventuella kommentarer som redan finns i indatafilen, om inte --discard-capture-comment också anges.

Denna flagga kan anges flera gånger. Observera att Wireshark för närvarande endast visar den första kommentaren i en fångstfil.

--discard-capture-comment

Kasta bort alla fångstfilskommentarer från indatafilen när utdatafilen skrivs. Kommentarer som läggs till med --capture-comment på samma kommandorad kastas inte bort.

--set-unused

Sätt oanvända byte, om sådana finns, till noll i SLL-länktypen. Detta är användbart vid kontroll av dubbletter, eftersom oanvända byte kan innehålla vad som helst, till exempel när paket passerar enhetsstacken för bondade gränssnitt på Linux.

--discard-packet-comments

Kasta bort alla paketkommentarer från indatafilen när utdatafilen skrivs. Kommentarer som läggs till med -a på samma kommandorad kastas inte bort.

Denna flagga har företräde framför --preserve-packet-comments.

--preserve-packet-comments

När en ny paketkommentar läggs till med -a, bevara eventuella paketkommentarer från indatafilen för den angivna ramen när utdatafilen skrivs. Utan denna flagga ersätter alla -a-flaggor samtliga befintliga paketkommentarer för det givna ramnumret.

Denna flagga gör det inte möjligt för -a att lägga till flera paketkommentarer för samma ramnummer på samma kommandorad.

Flaggan --discard-packet-comments har företräde framför denna flagga.

--compress <typ>

Komprimera utdatafilen med angiven komprimeringstyp. --compress utan argument visar en lista över komprimeringsformat som stöds för skrivning. Den angivna typen har företräde framför filändelsen i utfil.

Diagnostikflaggor

--log-level <nivå>

Ange aktiv loggnivå. Stödda nivåer, från lägst till högst, är noisy, debug, info, message, warning, critical och error. Meddelanden på den angivna nivån och högre skrivs ut. Till exempel skriver warning ut warning, critical och error, medan noisy skriver ut alla meddelanden. Nivåerna är inte skiftlägeskänsliga.

--log-fatal <nivå>

Avbryt programmet om något meddelande loggas på den angivna nivån eller högre. Till exempel avbryter warning vid alla warning, critical och error-meddelanden.

--log-domains <lista>

Skriv endast meddelanden för de angivna loggdomänerna, till exempel GUI,Epan,sshdump. Listan med domäner ska vara kommaseparerad. Den kan negeras med ! som första tecken, vilket inverterar matchningen.

--log-debug <lista>

Tvinga de angivna domänerna att logga på nivån debug. Listan med domäner ska vara kommaseparerad. Den kan negeras med ! som första tecken.

--log-noisy <lista>

Tvinga de angivna domänerna att logga på nivån noisy. Listan med domäner ska vara kommaseparerad. Den kan negeras med ! som första tecken.

--log-fatal-domains <lista>

Avbryt programmet om något meddelande loggas för de angivna loggdomänerna. Listan med domäner ska vara kommaseparerad.

--log-file <sökväg>

Skriv loggmeddelanden och stderr-utdata till den angivna filen.

Exempel

För att visa en mer detaljerad beskrivning av flaggorna:

editcap -h

För att minska fångstfilen genom att trunkera paketen till 64 byte och skriva den som en Sun snoop-fil:

editcap -s 64 -F snoop capture.pcapng shortcapture.snoop

För att ta bort paket 1000 från fångstfilen:

editcap capture.pcapng sans1000.pcapng 1000

För att begränsa en fångstfil till paket från nummer 200 till 750, inklusive:

editcap -r capture.pcapng small.pcapng 200-750

För att få alla paket från nummer 1 till 500, inklusive:

editcap -r capture.pcapng first500.pcapng 1-500

eller:

editcap capture.pcapng first500.pcapng 501-9999999

För att utesluta paket 1, 5, 10 till 20 och 30 till 40 från den nya filen:

editcap capture.pcapng exclude.pcapng 1 5 10-20 30-40

För att endast välja paket 1, 5, 10 till 20 och 30 till 40 för den nya filen:

editcap -r capture.pcapng select.pcapng 1 5 10-20 30-40

För att ta bort duplicerade paket som setts inom de föregående fyra ramarna:

editcap -d capture.pcapng dedup.pcapng

För att ta bort duplicerade paket som setts inom de föregående fyra ramarna, men hoppa över radiotap-huvuden:

editcap -d --skip-radiotap-header capture.pcapng dedup.pcapng

För att ta bort duplicerade paket som setts inom de föregående 100 ramarna:

editcap -D 101 capture.pcapng dedup.pcapng

För att ta bort duplicerade paket som setts inom mindre än eller lika med en tiondels sekund:

editcap -w 0.1 capture.pcapng dedup.pcapng

För att visa MD5-hashen för alla paket utan att generera någon verklig utdatafil:

editcap -V -D 0 capture.pcapng /dev/null

eller på Windows-system:

editcap -V -D 0 capture.pcapng NUL

För att flytta tidsstämplarna för varje paket framåt med 3,0827 sekunder:

editcap -t 3.0827 capture.pcapng adjusted.pcapng

För att säkerställa att alla tidsstämplar är i strikt kronologisk ordning:

editcap -S 0 capture.pcapng adjusted.pcapng

För att införa 5 % slumpmässiga fel i en fångstfil:

editcap -E 0.05 capture.pcapng capture_error.pcapng

För att ta bort VLAN-taggar från alla paket i en Ethernet-inkapslad fångstfil:

editcap -L -C 12:4 capture_vlan.pcapng capture_no_vlan.pcapng

För att kapa både 10-byte- och 20-byte-regionerna från följande 75-byte-paket i en enda körning kan någon av följande åtta metoder användas:

<--------------------------- 75 ---------------------------->

+---+-------+-----------+---------------+-------------------+
| 5 |   10  |     15    |       20      |         25        |
+---+-------+-----------+---------------+-------------------+

1) editcap -C 5:10 -C -25:-20 capture.pcapng chopped.pcapng
2) editcap -C 5:10 -C 50:-20 capture.pcapng chopped.pcapng
3) editcap -C -70:10 -C -25:-20 capture.pcapng chopped.pcapng
4) editcap -C -70:10 -C 50:-20 capture.pcapng chopped.pcapng
5) editcap -C 30:20 -C -60:-10 capture.pcapng chopped.pcapng
6) editcap -C 30:20 -C 15:-10 capture.pcapng chopped.pcapng
7) editcap -C -45:20 -C -60:-10 capture.pcapng chopped.pcapng
8) editcap -C -45:20 -C 15:-10 capture.pcapng chopped.pcapng

För att lägga till kommentarssträngar till de två första indataramarna:

editcap -a "1:1st frame" -a 2:Second capture.pcapng capture-comments.pcapng

För att lägga till ytterligare en kommentar till den första ramen:

editcap --preserve-packet-comments -a "1:This is another comment" \
    capture-comments.pcapng more-capture-comments.pcapng

Se även

• pcap(3)
• wireshark(1)
• tshark(1)
• mergecap(1)
• dumpcap(1)
• capinfos(1)
• text2pcap(1)
• reordercap(1)
• od(1)
• pcap-filter(7) eller tcpdump(8)

Noteringar

Detta är manualsidan för editcap 4.7.0. editcap är en del av Wireshark-distributionen.

Den senaste versionen av Wireshark finns på:

• https://www.wireshark.org

HTML-versioner av Wireshark-projektets manualsidor finns på:

• https://www.wireshark.org/docs/man-pages

Författare

Originalförfattare

Richard Sharpe <sharpe[AT]ns.aus.com>

Bidragsgivare

Guy Harris <guy[AT]alum.mit.edu>

Ulf Lamping <ulf.lamping[AT]web.de>

Kolofon

Den här sidan är en del av projektet wireshark, för interaktiv dumpning och analys av nätverkstrafik.

Information om projektet finns på:

• https://www.wireshark.org/

Om du har en felrapport för denna manualsida, se:

• https://gitlab.com/wireshark/wireshark/-/issues

Denna sida hämtades från projektets uppströms Git-arkiv:

https://gitlab.com/wireshark/wireshark.git

Sidan hämtades den 16 januari 2026.

Vid den tidpunkten var datumet för den senaste commit som hittades i arkivet 16 januari 2026.

Om du upptäcker renderingsproblem i HTML-versionen av sidan, känner till en bättre eller mer uppdaterad källa, eller har rättelser eller förbättringar av informationen i denna kolofon, skicka e-post till:

• man-pages@man7.org

Sidor som hänvisar till denna sida

• capinfos(1)
• captype(1)
• dumpcap(1)
• mergecap(1)
• rawshark(1)
• reordercap(1)
• strato(1)
• stratoshark(1)
• text2pcap(1)
• tshark(1)
• wireshark(1)
• wireshark-filter(4)