如何使用 tshark 或任何其他工具从现有 pcap 文件中提取全套功能?
How to extract full set of features from an existing pcap file using tshark or any other tool?
我是网络流量分析的新手。
我使用了以下 Tshark 命令,但没有成功。
C:\Program Files\Wireshark>tshark -r C:\Users\Ravi\Desktop\IDS-augustdocuments\iscxdataset\testbed13jun.pcapCopy\split\small_00057_20100613213752.pcap separator=, -R "tcp.dat
a" -T 字段 frame.number -e appName -e totalSourceBytes > C:\Users\Ravi\Desktop\IDS-augustdocuments\iscxdataset\testbed13jun.pcapCopy\splitoct.csv
tshark:“=”在此上下文中出乎意料。
关于提取方向(对于流)、totalSourceBytes、totalDestinationBytes、totalDestinationPackets、totalSourcePackets、sourceTCPFlagsDescription 等特征的任何建议。
您必须使用引号:
分隔符=","
是的。 Bro IDS 或 Argus(审计网络活动)。
阿格斯示例:
racluster -L0 -m proto -r filepcap.arg -s proto saddr daddr spkts dpkts sbytes dbytes
Proto SrcAddr DstAddr SrcPkts DstPkts SrcBytes DstBytes
udp 84.125.xxx.xxx 0.0.0.0 2634 2580 205131 317889
tcp 84.125.xxx.xxx 0.0.0.0 34143 42585 6078099 48276978
arp 84.125.xxx.xxx 84.xxx.xxx.x 3 3 126 180
此致,
我使用 Bro IDS 从 conn.log 文件中获取所需的字段。
1) 配置 Bro IDS
(按照这个 link 安装 Bro IDS)
https://www.digitalocean.com/community/tutorials/how-to-install-bro-ids-2-2-on-ubuntu-12-04
2) 启动 Bro ID
3) 使用命令"bro -r your pcap file.pcap",这将在当前目录中生成一个.log 文件。
4) 检查 conn.log、dns.log、http.log 等日志,以获取与 pcap 日志文件不同的信息。
我是网络流量分析的新手。
我使用了以下 Tshark 命令,但没有成功。
C:\Program Files\Wireshark>tshark -r C:\Users\Ravi\Desktop\IDS-augustdocuments\iscxdataset\testbed13jun.pcapCopy\split\small_00057_20100613213752.pcap separator=, -R "tcp.dat a" -T 字段 frame.number -e appName -e totalSourceBytes > C:\Users\Ravi\Desktop\IDS-augustdocuments\iscxdataset\testbed13jun.pcapCopy\splitoct.csv tshark:“=”在此上下文中出乎意料。
关于提取方向(对于流)、totalSourceBytes、totalDestinationBytes、totalDestinationPackets、totalSourcePackets、sourceTCPFlagsDescription 等特征的任何建议。
您必须使用引号:
分隔符=","
是的。 Bro IDS 或 Argus(审计网络活动)。
阿格斯示例:
racluster -L0 -m proto -r filepcap.arg -s proto saddr daddr spkts dpkts sbytes dbytes
Proto SrcAddr DstAddr SrcPkts DstPkts SrcBytes DstBytes
udp 84.125.xxx.xxx 0.0.0.0 2634 2580 205131 317889
tcp 84.125.xxx.xxx 0.0.0.0 34143 42585 6078099 48276978
arp 84.125.xxx.xxx 84.xxx.xxx.x 3 3 126 180
此致,
我使用 Bro IDS 从 conn.log 文件中获取所需的字段。 1) 配置 Bro IDS (按照这个 link 安装 Bro IDS) https://www.digitalocean.com/community/tutorials/how-to-install-bro-ids-2-2-on-ubuntu-12-04 2) 启动 Bro ID 3) 使用命令"bro -r your pcap file.pcap",这将在当前目录中生成一个.log 文件。 4) 检查 conn.log、dns.log、http.log 等日志,以获取与 pcap 日志文件不同的信息。