如何通过唯一的 IP 地址区分 PCAP

Question 1

假设您在名为的文件中拥有攻击 IP 列表attack-ips，原始转储在中capture.pcap，并且攻击范围是 1.0.0.0/24，则使用以下脚本tcpdump应该可以实现此目的：

while read ATTACKIP; do
    tcpdump -n -r capture.pcap -w "$ATTACKIP.pcap" "host $ATTACKIP or not net 1.0.0.0/24"
done < attack-ips

过滤器选择发往或来自攻击 IP 的流量，或者既不是发往攻击范围的流量也不是来自攻击范围的流量（以排除所有其他攻击 IP）。

Answer

假设您在名为的文件中拥有攻击 IP 列表attack-ips，原始转储在中capture.pcap，并且攻击范围是 1.0.0.0/24，则使用以下脚本tcpdump应该可以实现此目的：

while read ATTACKIP; do
    tcpdump -n -r capture.pcap -w "$ATTACKIP.pcap" "host $ATTACKIP or not net 1.0.0.0/24"
done < attack-ips

过滤器选择发往或来自攻击 IP 的流量，或者既不是发往攻击范围的流量也不是来自攻击范围的流量（以排除所有其他攻击 IP）。

Question 2

您可以使用Pcap分离器这是普卡普包。您可以使用此工具按客户端 IP 拆分 pcap 文件，在您的案例中，您可能会得到 60 个文件，每个文件包含一次攻击。请按如下方式使用该工具：

PcapSpliter.exe -f <YOUR_PCAP> -m client-ip

你没有提到你使用的操作系统，但这个工具支持 Win32、Linux 和 Mac)

Answer

您可以使用Pcap分离器这是普卡普包。您可以使用此工具按客户端 IP 拆分 pcap 文件，在您的案例中，您可能会得到 60 个文件，每个文件包含一次攻击。请按如下方式使用该工具：

PcapSpliter.exe -f <YOUR_PCAP> -m client-ip

你没有提到你使用的操作系统，但这个工具支持 Win32、Linux 和 Mac)

Question 3

分拆资本只需一个命令就可以将每个单独 IP 地址的数据包拆分为单独的 pcap 文件：

SplitCap.exe -r capture.pcap -s host

此后，capture.pcap 中将为每个 IP 地址生成一个 pcap 文件。每个文件将包含发往和来自该特定 IP 地址的所有数据包。简单又实用！

SplitCap 是免费的，可从此处获取： http://www.netresec.com/?page=SplitCap

Answer

分拆资本只需一个命令就可以将每个单独 IP 地址的数据包拆分为单独的 pcap 文件：

SplitCap.exe -r capture.pcap -s host

此后，capture.pcap 中将为每个 IP 地址生成一个 pcap 文件。每个文件将包含发往和来自该特定 IP 地址的所有数据包。简单又实用！

SplitCap 是免费的，可从此处获取： http://www.netresec.com/?page=SplitCap

相关内容