服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 从Wireshark分析pcap文件的最佳方法是什么?
Intereting Posts
由于SQL权限不足,IPAM安装失败 Heroku的rsyslog创build空的日志文件 nginx将子目录path作为参数 “SQL Server Express 2012中的系统pipe理员用户”在数据库'master'中拒绝创build数据库权限“ 硬件问题:用户界面冻结,硬盘驱动器的光线每小时变得坚实 LAMP服务器:(104)通过对等方重置连接 从dns通配符logging中排除一个子域 是否可以通过DHCPconfiguration接口的主从IP地址? recursion地更改Amazon S3上给定扩展的文件的内容types 打开名称中包含空格的文档库文件夹时出现“无法完成此操作”错误 如何在Fedora 12上安装旧版本的gcc? Kerberos代表团的风险 backupexec 12.5没有遵循linux代理上的符号链接 在SBS2008上备份时遇到问题 vpn / Openvpn作为云服务

从Wireshark分析pcap文件的最佳方法是什么?

我有从Wireshark中捕获的50-100MB pcap文件,需要分析大部分stream量来自哪里。

这样做的最好方法是什么? 理想情况下,我想结束一个Excel CSV文件显示前50左右的IP地址,所以我可以sorting和分析。

按来源地址 

tshark -T fields -e ip.src -r somefile.pcap

由dest地址 

  tshark -T fields -e ip.dst -r somefile.pcap

将其中的任一个input到| sorting| uniq -c | sort -n | 尾巴-50

你可以得到最高的src / dst对 

 tshark -T fields -e ip.src -e ip.dst -r somefile.pcap

要获得可以使用的字段列表 

 tshark -G fields

(警告,wireshark有一个压倒性的字段列表)

你也可以使用tshark统计信息:
这里有些例子: 

 $ tshark -r http.pcap -q -z conv,eth -z conv,ip -z conv,tcp
 TCP对话
过滤:
                                                |  |  | 总计|
                                                | 帧字节|  | 帧字节|  | 帧字节|
 192.168.108.128:1047 64.186.152.93:80 9 7834 7 1358 16 9192
 192.168.108.128:1048 64.186.152.93:80 4 1868 4 623 8 2491
 ================================================== ==============================
 ================================================== ==============================
 IPv4对话
过滤:
                                                |  |  | 总计|
                                                | 帧字节|  | 帧字节|  | 帧字节|
 192.168.108.128 64.186.152.93 13 9702 11 1981 24 11683
 192.168.108.128 192.168.108.2 1 202 1 73 2 275
 ================================================== ==============================
 ================================================== ==============================
以太网对话
过滤:
                                                |  |  | 总计|
                                                | 帧字节|  | 帧字节|  | 帧字节|
 00:0c:29:61:82:89 00:50:56:ee:98:59 14 9904 13 2096 27 12000
 00:50:56:ee:98:59 ff:ff:ff:ff:ff:ff 0 0 1 60 1 60
 ================================================== ==============================


 $ tshark -r http.pcap -q -z conv,eth,eth.addr == 00:0c:29:61:82:89 -z conv,ip,ip.addr == 192.168.108.2 -z conv,tcp ,ip.addr == 64.186.152.93
 ================================================== ==============================
 TCP对话
filter:ip.addr == 64.186.152.93
                                                |  |  | 总计|
                                                | 帧字节|  | 帧字节|  | 帧字节|
 192.168.108.128:1047 64.186.152.93:80 9 7834 7 1358 16 9192
 192.168.108.128:1048 64.186.152.93:80 4 1868 4 623 8 2491
 ================================================== ==============================
 ================================================== ==============================
 IPv4对话
filter:ip.addr == 192.168.108.2
                                                |  |  | 总计|
                                                | 帧字节|  | 帧字节|  | 帧字节|
 192.168.108.128 192.168.108.2 1 202 1 73 2 275
 ================================================== ==============================
 ================================================== ==============================
以太网对话
滤波器:eth.addr == 00:0C:29:61:82:89
                                                |  |  | 总计|
                                                | 帧字节|  | 帧字节|  | 帧字节|
 00:0c:29:61:82:89 00:50:56:ee:98:59 14 9904 13 2096 27 12000
 ================================================== ==============================