使用tshark 和 shell脚本分析 DNS pcap包

使用tshark 和 shell脚本分析 DNS pcap包


1、使用tshark过滤dns cap包中源ip、目的ip、request请求
tshark -r test.cap -T fields -e frame.time -e ip.src -e ip.dst -e dns.qry.name -R 'udp.dstport==53 || dns'


2、编写shell脚本,在指定目录下对一批pcap文件进行过滤，将结果存入trans-txt-step1、trans-txt-step2目录,后一目录中的文件每行记录的尾部加个相对应的pcap包文件名。
#!/bin/sh
if [ ! -d trans-txt-step1   ];then
    mkdir trans-txt-step1
fi
if [ ! -d trans-txt-step2   ];then
    mkdir trans-txt-step2
fi
for pcapfilename in `ls -al|grep '^-'|grep 'cap$'|awk '{print $9}'` 
do 
    echo $pcapfilename
    `tshark -r $pcapfilename -T fields -e frame.time -e ip.src -e ip.dst -e dns.qry.name -2 -R 'udp.dstport==53 || dns' > ./trans-txt-step1/$pcapfilename.step1.txt`
    echo "sed 's/$/&\t'"$pcapfilename"'/g' ./trans-txt-step2/$pcapfilename.step2.txt"<