将包含所有信息的 pcap 文件导出到 csv
Exporting pcap file into csv with all informations
我尝试从 Wireshark 将 pcap 文件导出到 CSV 文件。但是在这样做的同时,我只获得了帧号、时间、源、目标、协议、长度和信息等基本数据。但是,将同一个 pcap 文件导出为纯文本文件或 JSON 文件时,会包含有关数据包的所有详细信息。如何获得像
这样的列
- 持续时间
- protocol_type
- 服务
- 旗帜
- src_bytes
- dst_bytes
- 土地
- wrong_fragment
- 紧急
- 热门
- num_failed_logins
- logged_in
- num_compromised
- root_shell
- su_attempted
- num_root
- num_file_creations
- num_shells
- num_access_files
- num_outbound_cmds
- is_host_login
- is_guest_login
- 计数
- srv_count
- serror_rate
- srv_serror_rate
- rerror_rate
- srv_rerror_rate
- same_srv_rate
- diff_srv_rate
- srv_diff_host_rate
- dst_host_count
- dst_host_srv_count
- dst_host_same_srv_rate
- dst_host_diff_srv_rate
- dst_host_same_src_port_rate
- dst_host_srv_diff_host_rate
- dst_host_serror_rate
- dst_host_srv_serror_rate
- dst_host_rerror_rate
- dst_host_srv_rerror_rate
单个数据包是否包含所有这些字段详细信息?
如果有其他方式获得这些请建议他们
每个数据包都可能有一组不同的字段。这就是为什么 CSV 不是这种东西的好格式,除非你有一组你感兴趣的非常具体的字段。例如,ARP 数据包将包含以太网 header 的详细信息,以及 ARP字段,但它不会包含 IP header、TCP header 或 HTTP 数据包等的详细信息。而 HTTP 数据包将包含以太网、IP、TCP 和 HTTP 字段,但不会' 通常有 ARP 字段。 Wireshark 支持数百种协议,因此默认情况下,字段值仅针对数据包中存在的 protocols/fields 打印。
可以使用 -T fields 和多个 -e <field_name> 选项来指定您可能想要查看的所有字段。但是您将获得每个数据包的每个字段的值(如果该字段不适用于特定数据包,则为空)。这可能适合 CSV。
后来我发现我在问题中提到的大部分字段都是flow-related信息,而不仅仅是一个数据包。
https://github.com/ahlashkari/CICFlowMeter
检查上面的存储库,它提取了 82 个特征。可以从 pcap 文件中捕获或导入数据。
我尝试从 Wireshark 将 pcap 文件导出到 CSV 文件。但是在这样做的同时,我只获得了帧号、时间、源、目标、协议、长度和信息等基本数据。但是,将同一个 pcap 文件导出为纯文本文件或 JSON 文件时,会包含有关数据包的所有详细信息。如何获得像
这样的列- 持续时间
- protocol_type
- 服务
- 旗帜
- src_bytes
- dst_bytes
- 土地
- wrong_fragment
- 紧急
- 热门
- num_failed_logins
- logged_in
- num_compromised
- root_shell
- su_attempted
- num_root
- num_file_creations
- num_shells
- num_access_files
- num_outbound_cmds
- is_host_login
- is_guest_login
- 计数
- srv_count
- serror_rate
- srv_serror_rate
- rerror_rate
- srv_rerror_rate
- same_srv_rate
- diff_srv_rate
- srv_diff_host_rate
- dst_host_count
- dst_host_srv_count
- dst_host_same_srv_rate
- dst_host_diff_srv_rate
- dst_host_same_src_port_rate
- dst_host_srv_diff_host_rate
- dst_host_serror_rate
- dst_host_srv_serror_rate
- dst_host_rerror_rate
- dst_host_srv_rerror_rate
单个数据包是否包含所有这些字段详细信息? 如果有其他方式获得这些请建议他们
每个数据包都可能有一组不同的字段。这就是为什么 CSV 不是这种东西的好格式,除非你有一组你感兴趣的非常具体的字段。例如,ARP 数据包将包含以太网 header 的详细信息,以及 ARP字段,但它不会包含 IP header、TCP header 或 HTTP 数据包等的详细信息。而 HTTP 数据包将包含以太网、IP、TCP 和 HTTP 字段,但不会' 通常有 ARP 字段。 Wireshark 支持数百种协议,因此默认情况下,字段值仅针对数据包中存在的 protocols/fields 打印。
可以使用 -T fields 和多个 -e <field_name> 选项来指定您可能想要查看的所有字段。但是您将获得每个数据包的每个字段的值(如果该字段不适用于特定数据包,则为空)。这可能适合 CSV。
后来我发现我在问题中提到的大部分字段都是flow-related信息,而不仅仅是一个数据包。
https://github.com/ahlashkari/CICFlowMeter
检查上面的存储库,它提取了 82 个特征。可以从 pcap 文件中捕获或导入数据。