Inleiding
In dit document wordt beschreven hoe u een door COS Access Point gegenereerde pakketdump converteert naar PCAP-indeling voor Wireshark als een tijdelijke oplossing voor de beperking van de grootte.
Voorwaarden
- Kladblok++ - Alleen beschikbaar voor Windows
- Text2pcap geïnstalleerd - inbegrepen bij de reguliere installaties van Wireshark
Procedure
Pakketdumping uitvoeren
Leg een AP-pakketdump vast door de opdracht foutopsporingsverkeer bekabeld <meerdere opties> op de AP-opdrachtregel uit te voeren. U kunt kiezen uit meerdere filters en interfaces.
Log de sessie in de terminal.
Wees voorzichtig met het verzenden van de minste hoeveelheid toetsaanslagen wanneer u dit doet, hoe meer afdrukbare tekens in het bestand die niet bij de opname zelf horen, hoe meer opruiming u moet doen voordat u converteert.
De eenvoudigste manier om dit te doen is een consolesessie voor de pakketdump, het probleem repliceren, de dump stoppen en de sessie onmiddellijk beëindigen.
Als u de dump via ssh uitvoert, gebruikt u een filter om alleen het verkeer van belang vast te leggen. Anders bevat de opname de ssh-sessiepakketten.
Zie Problemen oplossen met COS AP's voor volledige instructies over het configureren van de opname.
Wanneer u klaar bent, stopt u de opname met de opdracht alle fouten ongedaan maken. Het resulterende bestand ziet er als volgt uit:
AP-9105>en
Password:
AP-9105#debug traffic wired udp
capture capture packets in pcap file
verbose Verbose Output
AP-9105#debug traffic wired udp verbose
AP-9105#reading from file /dev/click_wired_log, link-type EN10MB (Ethernet)
22:35:17.1669188 IP CSCO-W-PF320YP6.lan.60354 > 239.255.255.250.3702: UDP, length 656
0x0000: 0100 5e7f fffa 806d 971d a040 0800 4500
0x0010: 02ac d4bb 0000 0111 cd11 c0a8 64d1 efff
0x0020: fffa ebc2 0e76 0298 757b 3c3f 786d 6c20
0x0030: 7665 7273 696f 6e3d 2231 2e30 2220 656e
0x0040: 636f 6469 6e67 3d22 7574 662d 3822 3f3e
undebug 0x0070: 444c 4e41 444f 432f 312e 3530 2050 6c61
0x0080: 7469 6e75 6d2f 312e 302e 342e 320d 0a4d
0x0090: 414e 3a20 2273 7364 703a 6469 7363 6f76
0x00a0: 6572 220d 0a53 543a 2073 7364 703a 616c
all 0x00b0: 6c0d 0a4d 583a 2033 0d0a 0d0a
tcpdump: pcap_loop: error reading dump file: Interrupted system call
All possible debugging has been turned off
Opschonen van uitvoerbestand
Verwijder alle informatie die geen deel uitmaakt van de pakketdump zelf. Verwijder de regels met de opdracht dump, elke prompt met de hostnaam (APname#) en alle andere niet-gerelateerde syslog-berichten in het bestand.
Besteed speciale aandacht aan de opdracht undebug, omdat deze kan worden afgedrukt voordat een pakketinhoud wordt afgedrukt, zoals hierboven wordt weergegeven. Na het opruimen ziet het resulterende bestand er als volgt uit:
22:35:17.1669188 IP CSCO-W-PF320YP6.lan.60354 > 239.255.255.250.3702: UDP, length 656
0x0000: 0100 5e7f fffa 806d 971d a040 0800 4500
0x0010: 02ac d4bb 0000 0111 cd11 c0a8 64d1 efff
0x0020: fffa ebc2 0e76 0298 757b 3c3f 786d 6c20
0x0030: 7665 7273 696f 6e3d 2231 2e30 2220 656e
0x0040: 636f 6469 6e67 3d22 7574 662d 3822 3f3e
0x0070: 444c 4e41 444f 432f 312e 3530 2050 6c61
0x0080: 7469 6e75 6d2f 312e 302e 342e 320d 0a4d
0x0090: 414e 3a20 2273 7364 703a 6469 7363 6f76
0x00a0: 6572 220d 0a53 543a 2073 7364 703a 616c
0x00b0: 6c0d 0a4d 583a 2033 0d0a 0d0a
Overzichtsgegevens opruimpakket
Het begin van een nieuw pakket wordt gedetecteerd wanneer een nieuwe offset 000000 wordt weergegeven. Text2pcap kan de samenvattende informatie verwerken die voor elk pakket wordt afgedrukt, om problemen te voorkomen, is het het beste om ze te verwijderen.
Navigeer in Kladblok++ naar Zoeken>Zoeken en selecteer het tabblad Markeren, zorg ervoor dat de zoekmodus Uitgebreid is.
Voer in het veld Zoeken wat: het symbool in > en klik op Alles markeren. Deze actie markeert alle lijnen met het symbool >.
Notepad++ markeer het dialoogvenster met Zoek welk veld met het chevron teken erin.
Nadat de kopregels zijn gemarkeerd, worden in Notepad++ alle documentregels als volgt gemarkeerd:
Pakket dump snippet met gemarkeerde lijn die de chevron bevat.
Navigeer naar Zoeken>Bladwijzer en klik op Bladwijzerlijnen verwijderen. Na dit te hebben gedaan, ziet het bestand eruit als dit fragment:
0x0000: 0100 5e7f fffa 806d 971d a040 0800 4500
0x0010: 02ac d4bb 0000 0111 cd11 c0a8 64d1 efff
0x0020: fffa ebc2 0e76 0298 757b 3c3f 786d 6c20
0x0030: 7665 7273 696f 6e3d 2231 2e30 2220 656e
Startspaties en dubbele puntkomma's verwijderen
Navigeer naar Zoeken>Zoeken en selecteer het tabblad Vervangen, zorg ervoor dat de zoekmodus is uitgebreid.
Voer in het veld Zoeken wat: 8 witte spaties in. Laat het veld Vervangen met: leeg en klik op Alles vervangen. Dit vervangt alle 8 opeenvolgende witte spaties aan het begin van elke regel met niets, waardoor ze effectief worden verwijderd. Het dialoogvenster Vervangen ziet eruit als deze afbeelding.
Notepad++ Vervang het dialoogvenster door Zoeken welk veld 8 spaties bevat.
Het resulterende bestand na deze bewerking ziet eruit als dit fragment:
0x0000: 0100 5e7f fffa 806d 971d a040 0800 4500
0x0010: 02ac d4bb 0000 0111 cd11 c0a8 64d1 efff
0x0020: fffa ebc2 0e76 0298 757b 3c3f 786d 6c20
0x0030: 7665 7273 696f 6e3d 2231 2e30 2220 656e
0x0040: 636f 6469 6e67 3d22 7574 662d 3822 3f3e
0x0050: 3c73 6f61 703a 456e 7665 6c6f 7065 2078
0x0060: 6d6c 6e73 3a73 6f61 703d 2268 7474 703a
0x0070: 2f2f 7777 772e 7733 2e6f 7267 2f32 3030
Navigeer naar Zoeken>Zoeken en selecteer het tabblad Vervangen, zorg ervoor dat de zoekmodus Uitgebreid is. Voer in: ( let op de lege ruimte na de dubbele punt) in het veld Wat zoeken:. Laat het veld Vervangen met: leeg en klik op Alles vervangen.
Dit vervangt alle dubbele punten en eerste spaties na de offset.
Notepad++ Vervang het dialoogvenster door Zoeken welk veld is gevuld door een dubbele punt en een spatie.
Na de vorige bewerking ziet het resulterende uitvoerbestand eruit als dit fragment:
0x0000 0100 5e7f fffa 806d 971d a040 0800 4500
0x0010 02ac d4bb 0000 0111 cd11 c0a8 64d1 efff
0x0020 fffa ebc2 0e76 0298 757b 3c3f 786d 6c20
0x0030 7665 7273 696f 6e3d 2231 2e30 2220 656e
0x0040 636f 6469 6e67 3d22 7574 662d 3822 3f3e
0x0050 3c73 6f61 703a 456e 7665 6c6f 7065 2078
0x0060 6d6c 6e73 3a73 6f61 703d 2268 7474 703a
0x0070 2f2f 7777 772e 7733 2e6f 7267 2f32 3030
Juiste pakketoffset
Text2pcap verwacht packet offset in elk pakket als een hex string van 6 tekens, maar AP packet dumps gebruiken 0x om in plaats daarvan de offset te symboliseren. Om het te corrigeren, navigeert u naar Zoeken>Zoeken en selecteert u het tabblad Vervangen, zorgt u ervoor dat de zoekmodus Uitgebreid is.
Voer x in bij het veld Wat zoeken:. Vul het veld Vervangen met: met 0 en klik op Alles vervangen. Dit vervangt alle x binnen de offset door 0 om overeen te komen met de verwachte offset voor Text2pcap.
Notepad++ Vervang het dialoogvenster door Zoeken welk veld is gevuld met het teken x en Vervang het veld dat is gevuld met het teken 0.
Na de vorige bewerking ziet het resulterende uitvoerbestand eruit als dit fragment:
000000 0100 5e7f fffa 806d 971d a040 0800 4500
000010 02ac d4bb 0000 0111 cd11 c0a8 64d1 efff
000020 fffa ebc2 0e76 0298 757b 3c3f 786d 6c20
000030 7665 7273 696f 6e3d 2231 2e30 2220 656e
000040 636f 6469 6e67 3d22 7574 662d 3822 3f3e
000050 3c73 6f61 703a 456e 7665 6c6f 7065 2078
Pakketbytes scheiden
Text2pcap-gegevensindeling vereist dat elk paar hex-waarden wordt gescheiden door een spatie, een onjuiste indeling zorgt ervoor dat Text2pcap pakketgegevens leest als een offset en mislukt.
Navigeer naar Zoeken>Zoeken en selecteer het tabblad Vervangen, zorg ervoor dat de zoekmodus Reguliere expressie is.
Voer ([0-9a-f][0-9a-f])([0-9a-f][0-9a-f]) in (let op de regelafstand) in het veld Zoeken wat:.
Vul het veld Vervangen met: met \1 \2 (let op de regelafstand) en klik op Alles vervangen.
De vervang operatie vindt de hex bytes van het pakket en voegt een spatie tussen elk paar. De regex komt overeen met een spatie gevolgd door een zescijferig paar, slaat ze op bij capture group 1, neemt vervolgens het aangrenzende paar hex-cijfers en slaat ze op bij capture group 2. De vervangende printer drukt zowel de vereiste ruimten af als de inhoud van elke vastgelegde groep.
Het duurt meerdere seconden of minuten, afhankelijk van de lengte van het bestand. Het gebruikt veel RAM tijdens het uitvoeren Als het bestand groot is, moet u geduld hebben.
Notepad++ Vervang het dialoogvenster door het veld zoeken wat is gevuld met een reguliere expressie en het veld Vervangen dat is gevuld met een andere reguliere expressie.
Na de vorige bewerking ziet het resulterende uitvoerbestand eruit als dit fragment en is het klaar om te worden geconverteerd door Text2pcap.
000000 01 00 5e 7f ff fa 80 6d 97 1d a0 40 08 00 45 00
000010 02 ac d4 bb 00 00 01 11 cd 11 c0 a8 64 d1 ef ff
000020 ff fa eb c2 0e 76 02 98 75 7b 3c 3f 78 6d 6c 20
000030 76 65 72 73 69 6f 6e 3d 22 31 2e 30 22 20 65 6e
000040 63 6f 64 69 6e 67 3d 22 75 74 66 2d 38 22 3f 3e
000050 3c 73 6f 61 70 3a 45 6e 76 65 6c 6f 70 65 20 78
000060 6d 6c 6e 73 3a 73 6f 61 70 3d 22 68 74 74 70 3a
000070 2f 2f 77 77 77 2e 77 33 2e 6f 72 67 2f 32 30 30
000080 33 2f 30 35 2f 73 6f 61 70 2d 65 6e 76 65 6c 6f
000090 70 65 22 20 78 6d 6c 6e 73 3a 77 73 61 3d 22 68
Het tekstbestand naar PCAP converteren
Via Wireshark GUI
Als u het volledige bestand naar pcap wilt converteren, opent u Wireshark en navigeert u naar Bestand>Importeren vanaf hex dump, een dialoogvenster wordt weergegeven.
Dialoogvenster Wireshark importeren
Klik op de knop Bladeren... en selecteer het dump-tekstbestand. Zorg ervoor dat het geselecteerde offset-type hexadecimaal is, dat het inkapselingstype Ethernet is en dat geen dummy-header is geselecteerd.
Klik op Importeren om het conversieproces te starten.
Via opdrachtregel
Als u een tekstbestand wilt converteren naar een pcap-bestand in de opdrachtregel van Windows, voert u <path to wireshark install folder>\text2pcap.exe <path to text file pcap> <output file path> uit.
U kunt optioneel wireshark-map toevoegen aan uw PATH, anders moet u tekst2pcap uitvoeren die verwijst naar het volledige pad naar de tekst2pcap.exe elke keer dat u een bestand converteert. Text2pcap.exe bevindt zich in de installatiemap van wireshark.
Windows-opdrachtregeluitvoer na de succesvolle pakketdumpconversie
Text2pcap bevat ook meerdere regex-opties om het tekstbestand vooraf te verwerken, raadpleeg de handmatige pagina van Text2pcap voor meer informatie.
Probleemoplossing
Tekstbestand is correct, maar Text2pcap kan geen pakketten lezen
Text2pcap kan bepaalde bestandscoderingen die worden geproduceerd door terminal-emulators die vaak worden gebruikt (Secure CRT, Putty of andere) niet lezen.
Wijzigen in een codering leesbaar door Text2pcap met Kladblok++. Ga naar Encoding>UTF-8 en sla het bestand op en converteer het vervolgens opnieuw naar pcap.
Opties in het menu Notepad++-codering.
inconsistente offset
Deze fout wordt weergegeven wanneer de bytes van het gegevensportie op een pakket niet correct in paren zijn gescheiden, waardoor Text2pcap het begin van een nieuw pakket veronderstelt en niet kan worden geïnterpreteerd.
Zoek naar pakketbytes zonder scheiding of tekenreeksen in het midden van een pakketinhoud, zoals de undebug all
opdracht.
Windows-opdrachtregeluitvoer nadat een ongeldig bestand is geprobeerd te converteren. Inconsistente offset wordt meerdere keren op de terminal afgedrukt.