Инструмент CLI для анализа захватов pcap

Question

Инструмент CLI для анализа захватов pcap

Я ищу инструмент командной строки, который будет смотреть на файл захвата, вывод tcpdump -w и давать вывод, эквивалентный информации, которую вы получаете в диалогах Wireshark, и статистику конечных точек.

Чтобы дать вам небольшой обзор, у меня есть вывод большого захвата (~3 ГБ, в 40 файлах), который я не могу легко перенести на машину, где я могу запустить Wireshark, учитывая низкую пропускную способность.

3

command-line-interface packet-capture pcap tshark analysis

Источник

Zoredache 06 янв '11 в 19:26

2 ответа

Решение

В wireshark есть компонент командной строки, называемый tshark, который будет делать то, что вам нужно. Там лучше инструкция доступна здесь.

К сожалению, кажется, что конечные точки доступны только в графическом интерфейсе.

Другой альтернативой может быть использование X Forwarding для запуска Wireshark на дальней стороне и перенаправления графического интерфейса на локальный рабочий стол. Не зная, какую ОС вы используете на своем рабочем столе, я не знаю, насколько это возможно.

ОБНОВЛЕНИЕ: более подробная информация добавлена согласно запросу комментария.

2

Источник

Niall Donegan 06 янв '11 в 19:34

Другие вопросы по тегам command-line-interface packet-capture pcap tshark analysis

Gerald Combs 06 янв '11 в 21:17 2011-01-06 21:17 · Accepted Answer · 2011-01-06 21:17

Чтобы расширить ответ Найла, вы можете попробовать

tshark -r <capture file> -q -z conv,ip

-q отключает нормальный вывод и -z conv,ip сбрасывает данные IP-разговора. Более подробную информацию можно найти на странице руководства и в презентации Sharkfest Сак Блока.

7

Источник

Gerald Combs 06 янв '11 в 21:17