计算 pcap 文件中的连接数

Question 1

对于 TCP 连接，您可以通过计算数据包来获得相当好的近似值SYN-ACK。

tcpdump -nr trace.pcap 'tcp[tcpflags] & (tcp-syn|tcp-ack) = (tcp-syn|tcp-ack)' | wc -l

对于 UDP，没有连接之类的东西，因此您首先必须定义要计数的内容。您可以计算文件中存在多少对不同的源和目标。此命令将分别计算每个方向的数据包，因此如果每个“连接”都向两个方向发送数据包，则必须除以二。

tcpdump -nr trace.pcap 'udp' | cut -f2-5 -d' ' | sort -u | wc -l

如果您更喜欢基于 GUI 的工具，Wireshark 可以分析 TCP 连接。它会为在文件中找到的每个 TCP 连接分配一个编号，因此您只需滚动到文件底部，查看最后一个连接分配了什么编号。（如果多个连接重叠，并且在编号最高的连接的最后一个数据包之后有其他连接继续，则可能需要检查它们。）

Answer

对于 TCP 连接，您可以通过计算数据包来获得相当好的近似值SYN-ACK。

tcpdump -nr trace.pcap 'tcp[tcpflags] & (tcp-syn|tcp-ack) = (tcp-syn|tcp-ack)' | wc -l

对于 UDP，没有连接之类的东西，因此您首先必须定义要计数的内容。您可以计算文件中存在多少对不同的源和目标。此命令将分别计算每个方向的数据包，因此如果每个“连接”都向两个方向发送数据包，则必须除以二。

tcpdump -nr trace.pcap 'udp' | cut -f2-5 -d' ' | sort -u | wc -l

如果您更喜欢基于 GUI 的工具，Wireshark 可以分析 TCP 连接。它会为在文件中找到的每个 TCP 连接分配一个编号，因此您只需滚动到文件底部，查看最后一个连接分配了什么编号。（如果多个连接重叠，并且在编号最高的连接的最后一个数据包之后有其他连接继续，则可能需要检查它们。）

Question 2

Wireshark可以通过统计→对话来完成此操作。沙克-q -z conv,tcp -r /path/to/capture.pcap可以通过和来实现-q -z conv,udp -r /path/to/capture.pcap。恩托普也应该可以做到。

Answer

Wireshark可以通过统计→对话来完成此操作。沙克-q -z conv,tcp -r /path/to/capture.pcap可以通过和来实现-q -z conv,udp -r /path/to/capture.pcap。恩托普也应该可以做到。

相关内容