我有一个80GB的数据包捕获(libpcap),我想把它过滤到涉及特定的NFS文件/文件句柄的所有操作的一切。 我怎样才能做到这一点? 我知道以下关于我想要捕获的事实(以tshark显示格式): nfs.name == ".o1_mf_1_1093__1366653401581181_.arc nfs.fh.hash == 0x5c191ad8 nfs.fhandle == 3a:4f:47:4c:20:11:7b:48:7f:88:4f:16:94:90:a0:34:9a:fa:cf:71:e1:6a:95:fc:3e:3b:4e:6a:bb:9c:c6:c4:49:db:80:ca 但我不知道如何告诉tshark给我适用的请求/回复/等等。 我试过了: tshark -r ginormous.pcap -w 1366653401581181.pcap \ -R "nfs.fh.hash == 0x5c191ad8" \ -o nfs.file_name_snooping:TRUE \ -o nfs.file_full_name_snooping:TRUE \ -o nfs.fhandle_find_both_reqrep:TRUE 试图哄骗tshark做完整的graphics用户界面,但没有效果。
我有一些本地接口的pcap数据,我想分析一下。 具体来说,我想要HTTP会话的内容。 我知道很多HTTP 头统计工具,但我特别想重新组装每个完整的HTTP连接的内容 。 是否有任何合适的第四层包转储工具(Linux版),就像tcpdump等人为第三层工作一样,可以理解和操纵HTTP? 如果以前有问题,请随时redirect我,虽然我还没有find任何答案,但在SF。 谢谢!
我有一个小时的PCAP文件,它在我们的testingnetworking上有大约60个单独的networking攻击在这里工作。 每次攻击都来自一个独特的IP地址,这个IP地址在一小时内并没有在别处使用 我想从这个文件中制作60个pcap,还包括背景stream量。 发生攻击时没有真正的模式(即第一分钟可能有6个,接下来的10分钟可能会有1个)。 我可以将它们分离成只捕获攻击的文件,但我真的有兴趣在那里有背景stream量。 为了澄清我需要这个的理由,我正在使用这些数据来试图训练一个基于机器学习的networking传感器。
有谁知道我可能能够过滤请求任何logging的tshark DNS请求? 到目前为止,我能够过滤DNS查询: tshark -r capture.cap -T fields -e ip.src -e ip.dst -e dns.qry.name -R "dns.flags.response eq 0" 我怎么也过滤任何?
我有一种情况,我想要捕获一个Linux机器上的所有networkingstream量(目前使用tcpdump),但将这些数据实时传输到另一个单独的(但连接的)networking上的Linux。 基本上我有 [network i'm curious about]—[eth0. Linux box eth1]—-[separate network]—[eth0 monitoring Linux box] 我现在正在做的是将所有内容保存到pcap中,并定期将pcap转移到监视Linux机器上。 这是有效的,但效率非常低,绝对不是实时的。 有没有办法让tcpdump保存pcap到一个数据stream,我可以代理到监控盒没有设置像NFS或SMB的东西? 我认为最好的方式是对tcpdump怀疑的Linux机器,而不想在监视器上提供一个可写的共享。 有任何想法吗?
sudo tshark -i en0 -x -w icmp_sample.pcap 此命令输出一个pcap文件,但它似乎不是有效的,因为CocoaPacket分析器无法打开它 任何想法?
我有从Wireshark中捕获的50-100MB pcap文件,需要分析大部分stream量来自哪里。 这样做的最好方法是什么? 理想情况下,我想结束一个Excel CSV文件显示前50左右的IP地址,所以我可以sorting和分析。
我有一个巨大的pcap文件(很多GB),我只是不能在wireshark中加载。 我需要的是提取带宽使用信息,无论是总数和每个协议(在传入和传出的方向),从它,并可能以pipe理员友好的方式graphics。 从本质上讲,我需要能够在命令行上处理pcap文件的东西,并以rrdtool等工具以适合可视化或使用的格式输出使用情况统计信息。 任何意见欢迎。
如果有人能指点我一个工具或方法来从实时HTTPS连接(直接从networking)或networking跟踪文件(pcap文件)中提取SSL / TLS证书,我将不胜感激。 我尝试使用ssldump,但我无法提取证书。 我也可以使用Wireshark(手动),但我想以自动的方式做到这一点。 我为此使用Linux平台。 谢谢 编辑:我想提取的SSL证书比服务器发送到客户端(浏览器)在SSL握手期间。 我想使用networking嗅探器(tcpdump)来捕获networking中的SSL连接,然后从生成的pcap文件中提取证书(或者直播)。
据我所知,对于IPv4我需要捕获 UDP端口67和68, ARP, ICMP回应请求和回复, 和IPv6我需要 UDP端口546和547, 所有与DHCP相关的组播地址, ICMPv6邻居发现。 我想用tcpdump或wireshark捕获与DHCP相关的stream量,以供日后分析。 尽pipe我希望尽可能使滤波器尽可能具体,以获得一个小的捕获文件,但我不想错过一些重要的数据包,比如那些用来validationIP地址还没有被使用的数据包。 我错过了什么吗?