使用tshark对pcap报文进行批量切流

最新推荐文章于 2024-08-05 07:00:50 发布
最新推荐文章于 2024-08-05 07:00:50 发布
阅读量5.4k 收藏 6
点赞数 2
分类专栏: Wireshark从入门到精通 文章标签: tshark 切流 shell wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javajiawei/article/details/52423573
版权
本文介绍了如何使用tshark命令行工具结合shell脚本对pcap报文进行切流操作,详细讲解了-t, -e, -Y等参数的用法,并展示了如何通过流编号将每条流单独保存为pcap文件。虽然这种方法存在循环次数过多的问题,但为了解决这个问题,作者预告将在lua脚本部分提供更高效的解决方案。" 103479020,9207575,Node.js项目TypeScript改造实战,"['TypeScript', 'Node.js', '项目改造', 'ESLint', 'VSCode']
摘要由CSDN通过智能技术生成

在上一篇文章  wireshark自带命令行工具tshark的使用方法 一文中,着重介绍了tshark的抓包方面的参数。本节将通过一个具体的例子简单聊一下tshark命令在处理报文数据方面的参数,作为我的专栏《wireshark从入门到精通》中的一篇。 

关于数据处理方面的参数包括Processing和Output两个部分,Processing部分在上一小节就已经介绍了,output中的参数如图1:


图1

可以看到参数是非常的多,该部分参数作用是过滤输出报文的指定字段和内容,有的并不常用,简单介绍几个我经常使用的参数。

  • -w 参数即输出的文件名,针对的是raw类型的数据(协议数据)。如果是其他类型的数据,则通过重定向符>输出到文件。
  • -F表示输出数据包的格式,默认为pcapng格式文件,着和前面介绍的dumpcap命令参数是一致的。
  • -T表示文本输出格式。
  • -e表示具体的field,具体的field可以在GUI界面右上角中表达式查看,经常和-T一起使用输出具体的属性字段的值。
  • -X回在后续的lua脚本中频繁的使用,主要是加载lua脚本。
  • -q 如果输出
了解本专栏 订阅专栏 解锁全文 超级会员免费看
村中少年
关注
专栏目录
订阅专栏
entrocap:使用tsharkPCAP文件进行熵计算
04-12
本话题将详细介绍如何使用`tshark`进行PCAP文件的熵计算,以及与Python结合的应用。 熵在信息理论中是一个衡量信息随机性和不确定性的重要指标。在网络流量分析中,异常的熵值可能表示数据包中有不寻常或潜在恶意的...
tshark 分割、合并、过滤 数据包命令
科技追踪者的专栏
01-06 1万+
1、把后两个数据包并到一个数据包merge.pcap mergecap -w merge.pcap 1.pcap 2.pcap   2、按照radius条件过滤数据包 tshark -r 1.pcap radius -w radius.pcap   3、按照数据包数分割一个大的数据 editcap -c 1000000 merge.pcap split01.pca
tshark在流量分析中的绝佳应用(超详细)
LainWith的博客
03-28 1万+
目录简介参数tsharkwireshark对比基本命令获取数据包摘要信息显示时间格式捕获过滤器捕获并保存数据包显示过滤器区分显示过滤器和读取过滤器一些好用的显示过滤器-e参数的应用HTTP中的应用案例mysql中的应用案例-z参数的应用专家信息:**-z expert**追踪流:**-z follow**-z http统计数据包信息统计会话统计出所有IP显示每个协议树的具体信息导出对象追踪流追踪tcp流/http流追踪流数量读取TCP流-纯16进制读取TCP流-16进制读取TCP流-ascii获取TCP流
T-Shark命令行工具的使用方法和技巧
最新发布
fastboot
08-05 500
tsharkWireshark的命令行版本,功能非常强大,可以用来抓包、数据包分析、提取文件、提取分析后的数据等。本文我们将介绍tshark的基本用法、过滤器、输出格式、统计操作以及其他选项。首先,要使用tshark进行抓包,需要指定要监听的网络接口。例如,要监听eth0接口上的数据包,可以使用以下命令:tshark -i eth0如果要监听所有可用接口上的数据包,可以使用以下命令tshark ...
网络报文分析工具Tshark轻松掌握
共同学习、强我国家
08-24 3892
tshark作为Wireshark的配套子命令,在CLI场景下能胜任Wireshark绝大部分功能,对于需要批量处理、筛选过滤、导出、统计分析、定制化输出等能力。当然,tshark同时具备抓包和分析包的能力,简单理解为tsharkwireshark的CLI版本,但Linux端抓包基本上业界都会使用tcpdump,并且它基本能覆盖抓包的所有场景,如果想要了解tcpdump的用法,可以参照笔者总结的这篇文章。
TShark 批量转换数据包格式
u011186532的专栏
09-21 1290
本文主要是介绍TShark转换格式的命令,以及如何使用bat脚本进行批量处理。
报文批量处理方法简介
村中少年的专栏
02-26 2052
一个报文批量处理方法的示例
analyze_pcap:使用 tsharkpcap 获取 url 并检查 Virustotal
05-31
使用 tsharkpcap 获取 url 并检查 Virustotal 需要插入自己的virustotal API 密钥才能使其工作 请注意,非高级 API 密钥每分钟仅允许 4 次查询 需要安装下面提到的宝石 宝石安装uirusu 宝石安装红地毯 用法 -...
异常检测:帮助检测pcap文件中异常的脚本。 使用tensorflow和tshark进行异常检测
02-04
使用张量流和tshark的无监督异常检测使用张量流使用自动编码器神经网络进行无监督学习。 请参阅使用tensorflow和tshark的监督异常检测Script to help to detect anomalies in pcap file.Using tensorflow neural ...
Go-goshark-使用tshark对IP包进行解码并创建数据结构分析数据包
08-14
这使得开发者可以方便地对数据包进行深度分析,例如检测异常流量、统计网络使用情况或解析特定协议。 在`goshark-master`压缩包中,可能包含以下内容: 1. `goshark`源代码:这是`Go-goshark`项目的实现,包括Go...
tshark ARM版本编译,使用说明
03-13
tsharkWireshark 的命令行版本,可以对网络数据包进行捕获和分析。下面是 tshark ARM 版本的编译和使用说明。 一、交叉编译环境的设置 在编译 tshark 的 ARM 版本之前,需要设置交叉编译环境。交叉编译环境是...
tshark解析本地pcap数据包提取五元组{src_ip,src_port,proto,dst_ip,dst_port}与时间戳,包长
呆萌的代Ma
07-13 4150
tshark官方文档:https://www.wireshark.org/docs/man-pages/tshark.html wireshark官方特征参考:https://www.wireshark.org/docs/dfref/ 前提需要安装wireshark 提取五元组{src_ip,src_port,proto,dst_ip,dst_port} 代码如下: tshark -r pcap文件 -T fields -e ip.src -e tcp.srcport -e ip.dst -e tcp.
java 解析 pcap_如何基于TCP流有效地拆分pcap文件?
weixin_42514616的博客
02-21 727
我试图将包含数百个TCP流的大型pcap文件拆分为单独的文件 . 我目前的方法(见下文)对我来说似乎效率很低 . 我的问题是:TCP流将pcap文件拆分为单独文件的最有效方法是什么?目前的做法在我目前的方法中,我首先使用tshark来找出文件中的TCP流 . 接下来,对于每个TCP流,我读取原始文件并提取给定的流 . 下面的代码片段显示了我的方法:#!/bin/bash# Get all TCP ...
tshark命令小结
热门推荐
xanxus46的专栏
02-23 3万+
基本语法:tshark [ -a autostop condition> ] ... [ -b ring buffer option>] ... [ -B buffer size (Win32 only)> ]  [ -c packet count> ] [ -d type>==,protocol> ] [ -D ] [ -f filter> ] [ -F format> ] [ -h ]
pcap包常见拆分方法
Wait_Godot的博客
06-30 890
简单介绍了流量包的常见拆分方法,并就按流划分流量包的方法举了实例。
一个很棒的数据包分流方法
菜小白的博客
03-23 5737
前段时间看流量分类方向的论文,看了许多中科大王伟老师的论文。受益匪浅,尝试着去学习借鉴。 因为流量分类的基本单元一般就是单个包,整条流或者双向流。通常使用双向流Bi-Flow作为基本单元,而通过网卡接口抓取的pcap文件或者pcapng文件一般都有很多个session组成。所以分流一般都是预处理过程的第一步。 1.获取流量数据集 首先使用了开源数据集ISCX VPN and NO-VPN。 ISC...
linux命令行的艺术(熟练使用命令行)
pansaky的博客
06-06 1436
https://github.com/jlevy/the-art-of-command-line/blob/master/README-zh.md#%E6%96%87%E4%BB%B6%E5%8F%8A%E6%95%B0%E6%8D%AE%E5%A4%84%E7%90%86 前言 涵盖范围: 这篇文章不仅能帮助刚接触命令行的新手,而且对具有经验的人也大有裨益。本文致力于做到覆盖面广(涉及所有...
pcap文件按照五元组分流
m0_62435078的博客
09-16 561
pcap文件分流(五元组)
全网第三详细tshark使用帮助
12-11 7370
一 前言tshark作为wireshark的命令行版本,功能非常强大,可以抓包,数据包分析、提取文件、提取分析后的数据还支持各种格式,可以说一把流量分析的瑞士军刀,如果在低流量的场景,包装下tshark命令,就可以做个功能比较丰富的分析系统了,结合检测规则,一个简单点的IDS系统就出来了。二 核心功能2.1 抓包如同tcpdump一样,tshark也可以通过命令行方式进行流量捕获,功能一点也不弱。...
c语言调用tshark 解析pcap文件
05-30
要在C语言中调用tshark解析pcap文件,你可以使用以下步骤: 1. 使用C语言中的系统调用函数system()来执行tshark命令行。 2. 在tshark命令行中使用选项-r来指定要解析的pcap文件路径。 3. 使用选项-T来指定输出格式,例如使用json输出。 4. 将tshark输出的json数据解析为C语言的数据结构。 以下是一个示例代码: ```c #include <stdio.h> #include <stdlib.h> int main() { char command[1000]; sprintf(command, "tshark -r file.pcap -T json"); // 执行tshark命令行 system(command); // 解析tshark输出的json数据为C语言的数据结构 // ... return 0; } ``` 需要注意的是,使用system()函数会导致程序阻塞,直到tshark命令行执行完毕。如果要避免阻塞,可以使用fork()和exec()函数来创建子进程执行tshark命令行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

村中少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值