командной строки pcap file viewr tools

Мне нужен инструмент командной строки, который печатает захваченный файл pcap с потоком данных следующим образом: src-ip src-port dst-ip dst-port protocol (tcp/udp) duration number of of-packet сейчас я использую captcp, но он имеет основную проблему: он не был разработан для трафика UDP, и вы получите ошибку при работе с чистым файлом pcap UDP.командной строки pcap file viewr tools

I need something like this(it is CAPTCP but with support to UDP)

Я готов на все комментарии, но лучшие из них являются теми itroduce инструментов!

источник

2016-05-21 user3019074

Вы можете использовать tshark, чтобы прочитать файл PCAP и скопировать агрегацию. Это не вариант для огромных PCAP файлов (несколько ГЗ), но следующие работали в моих тестах:

#!/bin/sh 
PCAP="mypackets.pcap" 

tshark -r "$PCAP" -T fields -e ip.addr udp | 
sort | 
uniq | 
while read x; do 
    left=${x%%,*}; 
    right=${x##*,}; 
    echo; 
    echo "=================="; 
    echo "$left -> $right"; 
    tshark -r "$PCAP" -T text ip.src==$left and ip.dst==$right 2>/dev/null; 
done

Результаты с внутренними IP-адресами (цензурированным в нескольких местах):

192.168.0.1 -> 192.168.0.19 
    5 0.905186262 192.168.0.1 -> 192.168.0.19 NBNS 92 Name query NBSTAT ... 
    6 0.905274977 192.168.0.19 -> 192.168.0.1 ICMP 120 Destination unreachable (Port unreachable) 
773 54.218903171 192.168.0.1 -> 192.168.0.19 NBNS 92 Name query NBSTAT ... 
774 54.218991396 192.168.0.19 -> 192.168.0.1 ICMP 120 Destination unreachable (Port unreachable) 

================== 
192.168.0.19 -> 192.168.0.19 
    6 0.905274977 192.168.0.19 -> 192.168.0.1 ICMP 120 Destination unreachable (Port unreachable) 
774 54.218991396 192.168.0.19 -> 192.168.0.1 ICMP 120 Destination unreachable (Port unreachable) 

================== 
192.168.0.19 -> 8.8.8.8 
    7 7.527339007 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0x3321 A 
    8 7.527426252 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0xcbe7 AAAA 
    9 7.527479187 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0xc470 A 
60 7.865822939 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0xe7f7 A 
61 7.865862640 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0xf994 AAAA 
137 7.993523685 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0x580c A 
138 7.993563877 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0x1da8 AAAA 
149 8.050389092 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0xf953 A 
150 8.050429283 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0xba7c AAAA 
156 8.095814170 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0xd808 A 
157 8.095853871 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0x27bf AAAA 
160 8.134157723 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0x5970 A 
161 8.134196444 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0xc00f AAAA 
176 8.156413943 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0xfe0c A 
177 8.156432568 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0x8fa1 AAAA 
180 8.187659798 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0x9870 A 
181 8.187698028 192.168.0.19 -> 8.8.8.8  DNS 79 Standard query 0xb453 AAAA 

================== 
8.8.8.8 -> 192.168.0.19 
10 7.552742408  8.8.8.8 -> 192.168.0.19 DNS 95 Standard query response 0x3321 A 
11 7.555262701  8.8.8.8 -> 192.168.0.19 DNS 95 Standard query response 0xc470 A 
13 7.559084313  8.8.8.8 -> 192.168.0.19 DNS 132 Standard query response 0xcbe7 AAAA 
69 7.893370696  8.8.8.8 -> 192.168.0.19 DNS 132 Standard query response 0xf994 AAAA 
70 7.895752770  8.8.8.8 -> 192.168.0.19 DNS 95 Standard query response 0xe7f7 A 
139 8.016281317  8.8.8.8 -> 192.168.0.19 DNS 95 Standard query response 0x580c A 
140 8.017124846  8.8.8.8 -> 192.168.0.19 DNS 132 Standard query response 0x1da8 AAAA 
154 8.073028600  8.8.8.8 -> 192.168.0.19 DNS 95 Standard query response 0xf953 A 
155 8.078469630  8.8.8.8 -> 192.168.0.19 DNS 132 Standard query response 0xba7c AAAA 
158 8.121705259  8.8.8.8 -> 192.168.0.19 DNS 132 Standard query response 0x27bf AAAA 
159 8.123310463  8.8.8.8 -> 192.168.0.19 DNS 95 Standard query response 0xd808 A 
162 8.149581409  8.8.8.8 -> 192.168.0.19 DNS 95 Standard query response 0x5970 A 
163 8.150471991  8.8.8.8 -> 192.168.0.19 DNS 132 Standard query response 0xc00f AAAA 
178 8.180086664  8.8.8.8 -> 192.168.0.19 DNS 95 Standard query response 0xfe0c A 
179 8.180913038  8.8.8.8 -> 192.168.0.19 DNS 132 Standard query response 0x8fa1 AAAA 
212 8.216175579  8.8.8.8 -> 192.168.0.19 DNS 132 Standard query response 0xb453 AAAA 
213 8.217023519  8.8.8.8 -> 192.168.0.19 DNS 95 Standard query response 0x9870 A

You затем может отредактировать последний звонок до tshark, вместо -T text вы можете добавить -Tfields и несколько -e, чтобы получить только нужные вам поля. Например, вы можете добавить еще одну агрегацию while для подсчета количества пакетов (tshark всегда будет выводить пакет в одной строке).

источник

2016-05-23 20:00:49 grochmal

Вы можете использовать TShark Statistics:
tshark -r yourfile.pcap -q -z ко, УДП

TShark является частью Wireshark distribution.
Вы также можете использовать SplitCap, чтобы разделить файлы.
Смотрите также:
SplitCap and TShark
Wireshark Statistics

источник

2016-05-25 19:49:46 joke

командной строки pcap file viewr tools

ответ

Смежные вопросы