用于分析 pcap 捕获的 CLI 工具

tag-icon tag-icon command-line-interface analysis packet-capture pcap tshark
用于分析 pcap 捕获的 CLI 工具

我正在寻找一个命令行工具,它可以查看捕获文件、tcpdump -w 输出,并提供与您在 Wireshark 中获得的信息相同的输出对话, 和端点统计数据。

为了给您提供一些背景信息,我有一个大型捕获的输出(~3GB,分为 40 个文件),由于带宽较低,我无法轻松将其传输到可以运行 Wireshark 的机器上。

答案1

为了扩展 Niall 的答案,你可以尝试

tshark -r <capture file> -q -z conv,ip

禁用-q正常输出并-z conv,ip转储 IP 对话数据。更多信息可以在手册页以及Sake Blok 的 Sharkfest 演示

答案2

wireshark 有一个命令行组件,叫做 tshark,它可以满足你的需要。还有更好的说明这里。

不幸的是,端点似乎仅在 GUI 中可用。

另一种选择可能是使用 X Forwarding 在远端运行 Wireshark 并将 GUI 转发到本地桌面。如果不知道您在桌面上使用的是什么操作系统,我不知道这有多大的可能性。

更新:根据评论请求添加更多细节。

相关内容