使用tshark 和 shell脚本分析 DNS pcap包
1、使用tshark过滤dns cap包中源ip、目的ip、request请求
tshark -r test.cap -T fields -e frame.time -e ip.src -e ip.dst -e dns.qry.name -R 'udp.dstport==53 || dns'
2、编写shell脚本,在指定目录下对一批pcap文件进行过滤,将结果存入trans-txt-step1、trans-txt-step2目录,后一目录中的文件每行记录的尾部加个相对应的pcap包文件名。
#!/bin/sh
if [ ! -d trans-txt-step1 ];then
mkdir trans-txt-step1
fi
if [ ! -d trans-txt-step2 ];then
mkdir trans-txt-step2
fi
for pcapfilename in `ls -al|grep '^-'|grep 'cap$'|awk '{print $9}'`
do
echo $pcapfilename
`tshark -r $pcapfilename -T fields -e frame.time -e ip.src -e ip.dst -e dns.qry.name -2 -R 'udp.dstport==53 || dns' > ./trans-txt-step1/$pcapfilename.step1.txt`
echo "sed 's/$/&\t'"$pcapfilename"'/g' ./trans-txt-step2/$pcapfilename.step2.txt"<
使用tshark 和 shell脚本分析 DNS pcap包
于 2018-06-06 11:04:42 首次发布
本文介绍了如何结合tshark工具和shell脚本来分析DNS pcap包。首先,利用tshark过滤出DNS请求的相关信息,然后编写shell脚本在指定目录下批量处理pcap文件,生成结果并保存到不同目录。接着,通过添加行号和选择特定行处理文件,最后对域名出现的频次进行统计和排序,以便进一步分析。
摘要由CSDN通过智能技术生成