使用 Tshark 提取 PCAP
Extracting PCAP using Tshark
我正在尝试使用 Tshark 工具提取 PCAP。有什么方法可以获取从 Tshark 中提取的每个文件的源和目标 IP、源和目标端口以及时间戳等文件信息?
例如。
我正在使用 http :
命令提取文件 sample.pcap
tshark -q -r sample.pcap --export-objects 'http,tshark_extract_directory'
生成了以下文件,
%2f
gSEUozajoHorzUcfwjgep5-0HOV5tn4pzQS8exfGPXFOBGBQWrEcD1wKpJQk2T59
3h251q2c35
qxrWmriaPVb2cBLwxw1uR_EEnOuZR9mgVr3ReB3-1yiVm9H15-VbU3vylDw4RGW3
d2a42e1f7d9a1021bd7d93af414c95c4(1).php%3fq=70a9b40eb73da11445c3a3609c8241d9'
RSBbr6XDxZwv-i2lhZFras66SJRIL5vez28iuddGQjo94jue4fGqpAN9QPAW_yPY
d2a42e1f7d9a1021bd7d93af414c95c4.php%3fq=70a9b40eb73da11445c3a3609c8241d9'
xEztiZ7NM12Vj9c2RTB_MT0UEYH_re0UqLWZq_vBhBZGq0KGVP1BTVXxVeSy3Veo
d6bc1dc7da4ed54a62b93b5d0f1cc40c.swf
提取的文件似乎没有正确的命名,即使我查看文件内部,也很难找到我需要的信息。
是否可以获取例如“3h251q2c35”文件的源和目标 ip 或端口?如果可以怎么办?
您可以使用 -T & -e 选项,它可以从 pcap 文件中提取单个字段
使用 -Tjson
的示例
tshark -r <pcap_file> -Y <filter> -Tjson -e ipv6.src -e ipv6.dst -e tcp.srcport -e tcp.dstport -e frame.time
你应该得到类似
的东西
[
{
"_index": "packets-2019-08-12",
"_type": "pcap_file",
"_score": null,
"_source": {
"layers": {
"ipv6.src": [
"xxxxxx"
],
"ipv6.dst": [
"xxxxxx"
],
"tcp.srcport": [
"1"
],
"tcp.dstport": [
"2"
],
"frame.time": [
"<time>"
]
}
}
}
]
希望对您有所帮助!
我正在尝试使用 Tshark 工具提取 PCAP。有什么方法可以获取从 Tshark 中提取的每个文件的源和目标 IP、源和目标端口以及时间戳等文件信息? 例如。 我正在使用 http :
命令提取文件 sample.pcaptshark -q -r sample.pcap --export-objects 'http,tshark_extract_directory'
生成了以下文件,
%2f
gSEUozajoHorzUcfwjgep5-0HOV5tn4pzQS8exfGPXFOBGBQWrEcD1wKpJQk2T59 3h251q2c35
qxrWmriaPVb2cBLwxw1uR_EEnOuZR9mgVr3ReB3-1yiVm9H15-VbU3vylDw4RGW3 d2a42e1f7d9a1021bd7d93af414c95c4(1).php%3fq=70a9b40eb73da11445c3a3609c8241d9' RSBbr6XDxZwv-i2lhZFras66SJRIL5vez28iuddGQjo94jue4fGqpAN9QPAW_yPY d2a42e1f7d9a1021bd7d93af414c95c4.php%3fq=70a9b40eb73da11445c3a3609c8241d9' xEztiZ7NM12Vj9c2RTB_MT0UEYH_re0UqLWZq_vBhBZGq0KGVP1BTVXxVeSy3Veo d6bc1dc7da4ed54a62b93b5d0f1cc40c.swf
提取的文件似乎没有正确的命名,即使我查看文件内部,也很难找到我需要的信息。 是否可以获取例如“3h251q2c35”文件的源和目标 ip 或端口?如果可以怎么办?
您可以使用 -T & -e 选项,它可以从 pcap 文件中提取单个字段 使用 -Tjson
的示例tshark -r <pcap_file> -Y <filter> -Tjson -e ipv6.src -e ipv6.dst -e tcp.srcport -e tcp.dstport -e frame.time
你应该得到类似
的东西[
{
"_index": "packets-2019-08-12",
"_type": "pcap_file",
"_score": null,
"_source": {
"layers": {
"ipv6.src": [
"xxxxxx"
],
"ipv6.dst": [
"xxxxxx"
],
"tcp.srcport": [
"1"
],
"tcp.dstport": [
"2"
],
"frame.time": [
"<time>"
]
}
}
}
]
希望对您有所帮助!