Назад | Перейти на главную страницу

Лучший способ анализировать файлы pcap из Wireshark?

У меня есть файлы pcap размером 50-100 МБ, захваченные из Wireshark, и мне нужно проанализировать, откуда идет / откуда идет большая часть трафика.

Как лучше всего это сделать? В идеале я хотел бы получить CSV-файл Excel, показывающий 50 или около того первых IP-адресов, чтобы я мог сортировать и анализировать.

Вы также можете использовать цирк статистика:
Вот некоторые примеры:

$ tshark -r http.pcap -q -z conv,eth -z conv,ip -z conv,tcp
TCP Conversations
Filter:
                                               |             | |     Total     |
                                               | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |
192.168.108.128:1047  64.186.152.93:80           9      7834       7      1358      16      9192
192.168.108.128:1048  64.186.152.93:80           4      1868       4       623       8      2491
================================================================================
================================================================================
IPv4 Conversations
Filter:
                                               |             | |     Total     |
                                               | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |
192.168.108.128       64.186.152.93             13      9702      11      1981      24     11683
192.168.108.128       192.168.108.2              1       202       1        73       2       275
================================================================================
================================================================================
Ethernet Conversations
Filter:
                                               |             | |     Total     |
                                               | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |
00:0c:29:61:82:89     00:50:56:ee:98:59         14      9904      13      2096      27     12000
00:50:56:ee:98:59     ff:ff:ff:ff:ff:ff          0         0       1        60       1        60
================================================================================


$ tshark -r http.pcap -q -z conv,eth,eth.addr==00:0c:29:61:82:89 -z conv,ip,ip.addr==192.168.108.2 -z conv,tcp,ip.addr==64.186.152.93
================================================================================
TCP Conversations
Filter:ip.addr==64.186.152.93
                                               |             | |     Total     |
                                               | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |
192.168.108.128:1047  64.186.152.93:80           9      7834       7      1358      16      9192
192.168.108.128:1048  64.186.152.93:80           4      1868       4       623       8      2491
================================================================================
================================================================================
IPv4 Conversations
Filter:ip.addr==192.168.108.2
                                               |             | |     Total     |
                                               | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |
192.168.108.128       192.168.108.2              1       202       1        73       2       275
================================================================================
================================================================================
Ethernet Conversations
Filter:eth.addr==00:0c:29:61:82:89
                                               |             | |     Total     |
                                               | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |
00:0c:29:61:82:89     00:50:56:ee:98:59         14      9904      13      2096      27     12000
================================================================================

по адресу источника

 tshark -T fields -e ip.src -r somefile.pcap

по адресу назначения

 tshark -T fields -e ip.dst -r somefile.pcap

трубку любого из них | сортировать | uniq -c | sort -n | хвост -50

вы можете получить лучшие пары src / dst с

tshark -T fields -e ip.src -e ip.dst -r somefile.pcap

Чтобы получить список полей, с которыми можно работать

tshark -G fields

(предупреждение, у wirehark огромный список полей)