使用Wireshark提取pcap文件的原始16进制编码数据包到text

已于 2022-03-08 10:31:15 修改
阅读量1.5w 收藏 19
点赞数 4
文章标签: wireshark 测试工具 网络
于 2022-03-07 21:48:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dlzjx/article/details/123340202
版权
本文介绍了如何通过Wireshark的命令行工具tshark将pcap文件的原始16进制数据包转换为txt格式,用于深度学习。操作包括以管理员权限打开CMD,运行tshark命令读取pcap文件并输出到txt文档,然后使用Python进一步清理数据,去除标签、空格和ASCII码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

做一个记录

想要实现的功能就是把 pcap 文件的原始16进制编码数据包转换为到txt文档中,只要这些数据做深度学习,花了点时间学习wireshark的命令行操作。

实现命令行如下:

1.以管理员的身份打开cmd,进入到wireshark的文件夹

2.完整代码:tshark -T text -x -r D:\111.pcap > D:\111.txt

3.参考的是:

 4.转换后的txt文档内容格式如下:

 5.由于不想要前面的标签和空格和后面的ASCII码,遂又写了个简短的Python代码,把文档整理了一下:

import os

path1 = "D:/VPN-PCAPS-02/"
path2 = "D:/VPN-PCAPS-02/&#
最低0.47元/天 解锁文章
Dlzjx
关注
提取pcap payload为16进制形式存储
村中少年的专栏
08-14 2194
pcap数据转换对应的文本或者16进制输出
Cyberchef配合Wireshark提取并解析TCP/FTP流量数据包中的文件
村中少年的专栏
11-14 522
通过cyberchef还原pcap数据包中TCP上层的文件内容,提升wireshark分析数据包的效率
TCP获取数据保存为txt文件(亲测有效)
01-03
本程序可以实现对TCP通信获取的数据保存至TXT的功能,有任何相关问题可以直接联系我
pcap文件以十六进制输出到txt
qq_44650089的博客
12-14 3075
import struct import datetime fpcap = open('demo.pcap', 'rb') ftxt = open('test.txt', 'w') string_data = fpcap.read() packet_num = 0 packet_data = [] packet_time = [] pcap_packet_header = {} i = 24 while(i < len(string_data)): packet_time.append.
Wireshark】通过wireshark抓取的流量还原文件(以zip为例)
最新发布
小陈的博客
04-04 506
wireshark打开流量包,通过zip关键字查找追踪流可查看详细信息选中media Type右键, 点击导出分组字节流选项将生文件进行命名,需要时什么格式就以什么格式后缀。
python版pcaptxt工具
11-01
分析网络协议时会用到pcap文件,但是使用其他的工具无法做到信息汇总,或者只看到其中关心的消息 这个工具可以将pcap文件的中的关键信息解析出来 格式如下 源IP 目标IP 源端口 目标端口 协议类型 时间 包大小格式化以后输出出来 一共输出两个文件 一个txt文件 一个sql文件,方便存入到数据库中 源IP: 111.10.121.157 目标IP:123.123.123.123 协议类型:ICMP 时间:2018-10-21 13:56:45 包大小:74 源IP: 111.10.121.157 目标IP:123.123.123.123 协议类型:ICMP 时间:2018-10-21 13:56:47 包大小:74 源IP: 10.19.255.7 目标IP:123.123.123.123 协议类型:TCP 源端口:80 目标端口 :54954 时间:2018-10-21 13:56:47 包大小:54 源IP: 10.19.255.7 目标IP:123.123.123.123 协议类型:TCP 源端口:80 目标端口 :54956 时间:2018-10-21 13:56:47 包大小:74 源IP: 10.19.255.7 目标IP:123.123.123.123 协议类型:TCP 源端口:80 目标端口 :54956 时间:2018-10-21 13:56:47 包大小:66 源IP: 10.19.255.7 目标IP:123.123.123.123 协议类型:TCP 源端口:80 目标端口 :54956 时间:2018-10-21 13:56:47 包大小:312
小工具,从wireshark中导出原始16进制数据,进而导出RTPPayload数据
热门推荐
C__Allen的程序人生
06-14 1万+
wireshark抓到的包可以导出:file->export->file 在packet format下可以选择导出的格式,但如果需要的数据是多个包的组合那就麻烦了,因为导出的数据无论如何都会加上链路层、IP层和传输层的头信息,手动删除基本可能。 比如,我捕获了很多RTP包,但我只想取出RTP的payload来分析数据是否正确,我可以这样做: 首先导出packet byte格式的数据
wireshark工具pcap文件转换
m0_46829545的博客
08-24 1448
wireshark工具pcap文件转换
使用tcpdump将目录中pcap文件可读txt文件
wangzhicheng2013的专栏
08-06 1294
#!/bin/bash function tcpdump_show(){ for file in `ls $1` do if [ -d $1"/"$file ] then continue else if [ $file == "test.sh" ] #脚本名称为test.sh 与pcap放于同一目录 then continue else .
pcaper 报文16进制打印转pcap数据包
09-09
Pcaper可以把报文的16进制输出(可包含回车空格)转换wireshark可以识别的pcap格式报文。
wireshark 十六进制 查看_【路由交换】将16进制数据包转换pcap文件
weixin_28886359的博客
12-23 2430
这篇文章主要是为了介绍一下wireshark自带的小工具text2pcap,这个小工具可以帮助我们将16进制文件转换pcap文件,让我们可以直接用wireshark中打开。该工具存在wireshark安装目录下,无法直接打开,只能通过CMD运行.打开wireshark的安装目录,在安装目录下新建一个text文档,如下图所示将16进制的数据按下图格式进行整合,注意前6个字节一定要对应MAC地址,...
Wireshark保存文档转为纯文本数据
07-04
保存wireshark抓包的数据为txt文本,然后更改cpp文件中的文件路劲并运行
十六进制转换中文、文本、字符串工具,抓包分析工具。16年7月更新。
07-21
2016年7月21日更新,修改了碰到换行、回车、00字符会中止转换的问题。 可以把十六进制转换中文、文本、字符串,也可以把中文、文本、字符串转换十六进制,同时生十六进制与字符的对照表,主要用于对抓包的十六进制数据进行分析,也适用网络通信程序的开发和调试。 注意,如果十六进制数据是压缩或加密了的,生的结果会是乱码,这不是程序的问题。
解析抓包软件中tcp包装的数据并转换为txt文本
12-16
关键词:Wireshark、ethereal、WinPcap、TCP、网络、抓包、免费软件 modubs、101,104,103, 功能: 处理抓包软件抓包保存的文件,过滤并仅取出tcp包装的数据,保存到txt文件使用网络抓包软件,抓包后,保存文件xxx.pcap使用本软件,可以将xxx.pcap文件中tcp包装的数据解析到txt文件中; 使用场景:
将抓到的pcap文件中Http包转换为可读的txt格式
VirusCode2016的博客
07-17 1573
编写思路:     1.首先将要读取、写入信息的两个文件分别进行打开,接下来先进行文件读操作,获得指向该文件头的指针fp     2.从文件中读取pcap文件头大小的信息存储在pcap_head_buf里,再将偏移偏移量offset设置为pcap头之后     3.将文件pkt(数据报)头信息存储在pkt_head_buf里,将偏移量置offset设置到pkt头+pkt数据之后,即...
pcap文件提取文本文件
qq_28808697的博客
07-27 1576
1、 #strings命令在对象文件或二进制文件中查找可打印的字符串。 strings output.txt >> output1.txt 其中 output.txt 是包含可打印字符串的pcap文件 2、从 output1.txt中查找包含start(忽略大小写)的行,使用uniq命令删除重复的行,然后写入到文件 transmitted.txt grep -i start output1.txt | uniq >> transmitted.txt 3、将transm.
【Python】Ouster激光雷达pcap数据转存为txt
qinxinger的博客
04-21 555
Outer激光雷达pcap文件解析
wireshark:十六进制转储
OceanStar的博客
11-27 3662
什么是十六进制转储 在计算机中,十六进制转储是计算机数据的十六进制视图(在屏幕或者纸上),来自RAM或者来自文件或者存储设备 查看十六进制数据转存通常是作为调试或者逆向工程的一部分来完大的。 在十六进制转储中,每个字节(8位)表示为两位十六进制数。 十六进制转储通常被组织8或者16进制的行,有时由空格分隔。 一些十六进制转储在开头具有十六进制存储器地址或者在每一行的末尾具有校验和字节 这个程序函数的一些常用名称是hexdump,od,xxd和简单转储甚至是D. hexdump hexdump命令一般
如何使用Wireshark解析16进制数据包
03-10
<think>好的,用户现在想了解如何使用Wireshark解析16进制数据包。之前已经推荐过Wireshark作为图形界面工具之一,但用户可能希望得到更具体的步骤指导。首先,我需要确定用户的使用场景。他们可能是网络管理员、安全分析师,或者开发者,处理网络协议或自定义数据包。用户可能已经有原始的十六进制数据,需要将其导入Wireshark进行分析。 接下来,我需要考虑用户可能的痛点。比如,如何将十六进制数据转换为Wireshark可识别的格式,比如pcappcapng。另外,用户可能不知道如何在Wireshark中查看和解析这些数据包的结构。需要详细说明导入步骤,以及如何使用内置的协议解析器。 另外,用户可能对高级功能感兴趣,比如手动设置协议或自定义解析器,但如果是新手,可能需要先从基础开始。所以,回答需要分步骤,结构清晰,从导入数据到分析,再到高级技巧,逐步深入。 还要注意可能的常见问题,例如数据格式转换是否正确,字节顺序的问题,或者如何识别未知协议。需要提供解决这些问题的方法,比如使用text2pcap工具,或者调整解析选项。 需要确保每个步骤都具体,比如具体的菜单路径,命令示例,以及截图或代码块的使用,让用户容易跟随。同时,提醒用户注意字节顺序、协议选择是否正确,以及校验和验证的重要性。 最后,总结使用Wireshark的优势,比如支持多种协议,可视化分析,以及社区支持,帮助用户理解为什么选择这个工具。确保语言简洁明了,避免技术术语过于复杂,适合不同层次的用户理解。</think>以下是使用 **Wireshark** 解析16进制数据包的详细步骤指南,涵盖从数据导入到协议分析的完整流程: --- ### **一、准备16进制数据包** 1. **数据格式要求** - 原始数据需为 **16进制字符串**,例如: `AA BB 01 00 00 01 00 00 00 00 00 00 03 77 77 77 05 62 61 69 64 75 03 63 6F 6D 00 00 01 00 01` - 若数据以其他形式(如二进制文件 `.bin`)存储,可直接导入Wireshark。 --- ### **二、将16进制数据转换为Wireshark可读格式** #### **方法1:使用`text2pcap`工具(命令行)** - **适用场景**:将纯文本格式的16进制字符串转换为 `.pcap` 文件。 - **操作步骤**: 1. 创建输入文件(如 `input.txt`),格式示例: ``` 0000 aa bb 01 00 00 01 00 00 00 00 00 00 03 77 77 77 0010 05 62 61 69 64 75 03 63 6f 6d 00 00 01 00 01 ``` (`0000` 表示偏移量,非必须但推荐添加) 2. 运行转换命令: ```bash text2pcap -l 1 input.txt output.pcap # -l 1表示链路层类型为以太网(可省略) ``` 3. 生 `output.pcap` 文件,用Wireshark打开。 #### **方法2:直接导入二进制文件** - **操作步骤**: 1. 打开Wireshark → `文件` → `打开` → 选择二进制文件(如 `.bin`)。 2. Wireshark会自动解析为原始数据包(需手动指定协议类型)。 --- ### **三、在Wireshark中解析数据包** 1. **基础解析流程** - **步骤1**:打开 `.pcap` 文件后,主界面分为三部分: - **数据包列表**:显示捕获的所有数据包。 - **协议详情**:分层展示各协议字段(如以太网头、IP头、TCP负载)。 - **原始字节**:显示16进制和ASCII格式的原始数据。 - **步骤2**:右键点击目标数据包 → `Follow` → `TCP Stream`(或`UDP Stream`)查看完整会话内容。 2. **强制指定协议解析** - **适用场景**:当Wireshark未自动识别协议时(如自定义私有协议)。 - **操作步骤**: 1. 选中数据包 → 右键 → `Decode As...` 2. 在`Current`列选择协议类型(如`HTTP`、`DNS`或`Data`)。 ![decode_as](https://www.wireshark.org/docs/wsug_html_chunked/wsug_graphics/decode-as-dialog.png) 3. **查看16进制原始数据** - **操作**:点击数据包详情中的`原始数据`区域,下方将高亮显示对应的16进制字节。 - **快捷键**:`Ctrl+H` 切换16进制/ASCII显示模式。 --- ### **四、高级分析技巧** 1. **过滤特定字段** - **示例**: - 过滤所有包含字节`AA BB`的数据包: ```wireshark-filter frame contains aa:bb ``` - 过滤IP地址为`192.168.1.1`的流量: ```wireshark-filter ip.addr == 192.168.1.1 ``` 2. **自定义协议解析** - **使用Lua脚本**: 1. 编写Lua脚本定义协议字段(如解析帧头、长度、校验和)。 2 在Wireshark中加载脚本: `分析` → `启用的协议` → `Lua` → 选择脚本文件。 - **示例脚本片段**: ```lua local my_proto = Proto("MyProtocol", "My Custom Protocol") local fields = { header = ProtoField.bytes("myproto.header", "Header"), length = ProtoField.uint16("myproto.length", "Length", base.DEC) } my_proto.fields = fields function my_proto.dissector(buffer, pinfo, tree) local subtree = tree:add(my_proto, buffer(), "My Protocol Data") subtree:add(fields.header, buffer(0,2)) -- 解析前2字节为帧头 subtree:add(fields.length, buffer(2,2)) -- 解析3-4字节为长度 end DissectorTable.get("udp.port"):add(1234, my_proto) -- 绑定到UDP端口1234 ``` 3. **导出特定字段** - **操作**:右键点击协议字段 → `Export Packet Bytes` → 选择范围保存为文件。 --- ### **五、常见问题与解决** 1. **数据包显示为`[Malformed Packet]`** - **原因**:协议解析失败(如校验和错误、字段长度不匹配)。 - **解决**: - 检查原始数据是否完整。 - 通过`Analyze` → `Enabled Protocols` 禁用错误协议的解析。 2. **字节顺序问题(大端/小端)** - **调整方法**:在`协议详情`中右键字段 → `Switch Byte Order`。 3. **时间戳校正** - **操作**:`视图` → `时间显示格式` → 选择`UTC`或相对时间。 --- ### **六、关键优势总结** 1. **协议支持广泛**:内置3000+协议解析器(如HTTP、DNS、TLS)。 2. **可视化分析**:通过IO图表、流量统计等功能快速定位异常。 3. **社区支持**:通过[Wireshark官方Wiki](https://wiki.wireshark.org/)获取协议插件和脚本。 --- **示例截图**: ![Wireshark解析界面](https://www.wireshark.org/docs/wsug_html_chunked/wsug_graphics/ws-main-window.png) (图中展示典型的数据包分层解析视图) 通过以上步骤,您可高效利用Wireshark16进制数据包的解析、调试和逆向工程任务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值