我没有任何关于tshark的基础知识,很难find任何帮助我的教程。
所以现在我有一个由很多networkingstream组成的pcap文件。 时间范围 一个ip addr; 一个tcp端口号 ip addr发送的数据包的数量或者ip addr收到的数据包的数量。
我想要做的是首先让tshark从pcap文件读取,然后使用时间范围过滤掉所有在该时间范围内的networkingstream,然后使用ip addr过滤掉所有的networking从那个ip addrstream向已经过滤出来的stream,然后使用tcp端口号和ip addr发送/接收的数据包的数量来最终find我想要的stream。 然后按照这个stream程/stream将整个对话保存到一个新的pcap文件。
任何人都可以帮忙 我会非常感激的。
我想要做的是,首先我让tshark从pcap文件中读取数据,然后使用时间范围来筛选出在该时间范围内的所有networkingstream
你应该用editcap :
$ editcap -A "2011-07-12 09:49:16" -B "2011-07-12 09:49:20" in.pcap out.pcap
然后使用ip addr从该ip addr过滤掉所有networkingstream,然后使用tcp端口号和ip addr发送/接收的数据包数来最终find我想要的stream。
$ tshark -r out.pcap -R "ip.addr == $IP && tcp.port == $PORT"
然后按照这个stream程/stream
$ tshark -r out.pcap -R "ip.addr == $IP && tcp.port == $PORT" \ -T fields -e ip.src -e tcp.srcport -e ip.dst -e tcp.dstport | \ while read line; do tshark -r out.pcap \ -R "ip.addr == `echo $line | awk '{ print $1 }'` && \ tcp.port == `echo $line | awk '{ print $2 }'` && \ ip.addr == `echo $line | awk '{ print $3 }'` && \ tcp.port == `echo $line | awk '{ print $4 }'`" \ echo \ done
查看通过TCP连接分割pcap文件的工具? ,然后感到有点难过,我无法findLinux的任何东西,将保持适当forms的PCAP和stream量过滤。 如果你能做到而不关注stream程,那么tshark将尊重所有正常的tcpdump (pdf链接)filter。 阅读转储并设置-w output标志和filter,你会得到你的瘦文件。