CAPINFOS
Wireshark PCAP/PCAP-NG Bestandsinformatie
CAPINFOS is een onderdeel van Wireshark/TSHARK
Lees eerste het TSHARK artikel voor je aan CAPINFOS begint!
Het is ook mogelijk om (meta) informatie te krijgen van een PCAP bestand, bijv. als je dit toegestuurd krijgt. Hiervoor gebruiken we het programma capinfos: $ capinfos linuxusers.pcap
Hier kun je oa. zien vanaf welke interface de capture is genomen (File encapsulation), als je de “any” adapter gebruikt zal hier “Linux Cooked Capture” staan, ook kun je eventuele Capture Filters zien.
- capinfos linuxusers.pcap -a (tijd van eerste pakket)
- capinfos linuxusers.pcap -e (tijd van laatste pakket)
- capinfos linuxusers.pcap -t (toon bestand-type)
Het bestandstype is PCAP voor oudere versies (en tcpdump) en PCAPNG1 voor nieuwere versies.
Er zijn nog veel meer opties, de capinfosmanpages is dus een goede bron van extra informatie. Verder is het ook mogelijk om PCAP bestanden te bewerken met editcap. En met de -s optie (bijv. -s 80) beperk je de “snaplenght” waardoor je de grootte van het PCAP bestand drastisch kunt verminderen, zonder nuttige informatie te verliezen).