分析 Wireshark 的 pcap 文件的最佳方法是什么?

tag-icon tag-icon wireshark pcap
分析 Wireshark 的 pcap 文件的最佳方法是什么?

我从 Wireshark 捕获了 50-100MB 的 pcap 文件,需要分析大部分流量去往/来自哪里。

最好的方法是什么?理想情况下,我希望最终得到一个 Excel csv 文件,其中显示前 50 个左右的 IP 地址,以便我可以进行排序和分析。

答案1

按源地址

 tshark -T fields -e ip.src -r somefile.pcap

按目标地址

 tshark -T fields -e ip.dst -r somefile.pcap

将其中任何一个通过管道传输到 | sort | uniq -c | sort -n | tail -50

你可以使用以下方式获取顶级 src/dst 对

tshark -T fields -e ip.src -e ip.dst -r somefile.pcap

获取可使用的字段列表

tshark -G fields

(警告,wireshark 的字段列表太多了)

答案2

您还可以使用沙克统计数据:
以下是一些示例:

$ tshark -r http.pcap -q -z conv,eth -z conv,ip -z conv,tcp
TCP 对话
筛选:
                                               | | | 总计|
                                               | 帧 字节 | | 帧 字节 | | 帧 字节 |
192.168.108.128:1047 64.186.152.93:80 9 7834 7 1358 16 9192
192.168.108.128:1048 64.186.152.93:80 4 1868 4 623 8 2491
================================================================================
================================================================================
IPv4 对话
筛选:
                                               | | | 总计|
                                               | 帧 字节 | | 帧 字节 | | 帧 字节 |
192.168.108.128 64.186.152.93 13 9702 11 1981 24 11683
192.168.108.128 192.168.108.2 1 202 1 73 2 275
================================================================================
================================================================================
以太网对话
筛选:
                                               | | | 总计|
                                               | 帧 字节 | | 帧 字节 | | 帧 字节 |
00:0c:29:61:82:89 00:50:56:ee:98:59 14 9904 13 2096 27 12000
00:50:56:ee:98:59 ff:ff:ff:ff:ff:ff 0 0 1 60 1 60
================================================================================


$ tshark -r http.pcap -q -z conv,eth,eth.addr==00:0c:29:61:82:89 -z conv,ip,ip.addr==192.168.108.2 -z conv,tcp,ip.addr==64.186.152.93
================================================================================
TCP 对话
过滤器:ip.addr==64.186.152.93
                                               | | | 总计|
                                               | 帧 字节 | | 帧 字节 | | 帧 字节 |
192.168.108.128:1047 64.186.152.93:80 9 7834 7 1358 16 9192
192.168.108.128:1048 64.186.152.93:80 4 1868 4 623 8 2491
================================================================================
================================================================================
IPv4 对话
过滤器:ip.addr==192.168.108.2
                                               | | | 总计|
                                               | 帧 字节 | | 帧 字节 | | 帧 字节 |
192.168.108.128 192.168.108.2 1 202 1 73 2 275
================================================================================
================================================================================
以太网对话
过滤器:eth.addr==00:0c:29:61:82:89
                                               | | | 总计|
                                               | 帧 字节 | | 帧 字节 | | 帧 字节 |
00:0c:29:61:82:89 00:50:56:ee:98:59 14 9904 13 2096 27 12000
================================================================================

相关内容