CAPINFOS

Wireshark PCAP/PCAP-NG Bestandsinformatie

CAPINFOS is een onderdeel van Wireshark/TSHARK

Lees eerste het TSHARK artikel voor je aan CAPINFOS begint!

Het is ook mogelijk om (meta) informatie te krijgen van een PCAP bestand, bijv. als je dit toegestuurd krijgt. Hiervoor gebruiken we het programma capinfos: $ capinfos linuxusers.pcap

Figuur: $ capinfos linuxusers.pcap

Hier kun je oa. zien vanaf welke interface de capture is genomen (File encapsulation), als je de “any” adapter gebruikt zal hier “Linux Cooked Capture” staan, ook kun je eventuele Capture Filters zien.

Figuur: $ capinfos not53.pcap
Nog enkele handige opties zijn:
  • capinfos linuxusers.pcap -a (tijd van eerste pakket)
  • capinfos linuxusers.pcap -e (tijd van laatste pakket)
  • capinfos linuxusers.pcap -t (toon bestand-type)
Figuur: $ capinfos linuxusers.pcap -a
Figuur: $ capinfos linuxusers.pcap –e
Figuur: $ capinfos linuxusers.pcap -t

Het bestandstype is PCAP voor oudere versies (en tcpdump) en PCAPNG1 voor nieuwere versies.

Er zijn nog veel meer opties, de capinfosmanpages is dus een goede bron van extra informatie. Verder is het ook mogelijk om PCAP bestanden te bewerken met editcap. En met de -s optie (bijv. -s 80) beperk je de “snaplenght” waardoor je de grootte van het PCAP bestand drastisch kunt verminderen, zonder nuttige informatie te verliezen).

1 PCAP Next Generation