我需要一些命令行工具,它打印基于流的捕获的pcap文件,如下所示:src-ip src-port dst-ip dst-port protocol(tcp / udp)duration number of of packet now,我用captcp它是完美,但它有一个主要问题:它不是为UDP流量设计的,你在运行纯UDP pcap文件时会出错 .
I need something like this(it is CAPTCP but with support to UDP)
我渴望得到你的所有评论,但最好的是它们产生的工具!
2 回答
您可以使用tshark读取PCAP文件并编写聚合脚本 . 这不是大型PCAP文件(几GB)的选项,但以下工作在我的测试中:
内部IP的结果(在几个地方审查):
然后,您可以编辑对tshark的最后一次调用,而不是
-T text
,您可以添加-Tfields
和几个-e
选项以仅获取所需的字段 . 例如,您可以添加另一个while
聚合来计算数据包的数量(tshark将始终在一行上输出数据包) .你可以使用TShark Statistics:
tshark -r yourfile.pcap -q -z conv,udp
TShark是Wireshark distribution的一部分 .
您也可以使用SplitCap来拆分文件 .
也可以看看:
SplitCap and TShark
Wireshark Statistics