Linux命令查看pcap包报文数量、包体包含内容、包长

原创 已于 2023-11-08 18:01:54 修改
· 4.1k 阅读 · 1 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维

于 2023-11-08 14:45:09 首次发布

查看pcap包内容

要查看pcap文件中的包数量,可以使用网络分析工具,如Wireshark或Tcpdump,或者使用编程语言中的网络分析库,如Python中的Scapy或Sniffy。

使用Wireshark的方法如下:

  1. 打开Wireshark软件。
  2. 选择要查看的pcap文件并打开。
  3. 在Wireshark的统计菜单中,选择数据包统计。
  4. Wireshark将显示包含所有数据包的详细列表,包括每个数据包的详细信息。

使用Tcpdump的方法如下:

  1. 打开终端窗口。
  2. 输入以下命令并按Enter键:tcpdump -n -r filename.pcap,其中filename.pcap是要查看的pcap文件的名称。
tcpdump -n -r filename.pcap
  1. Tcpdump将读取pcap文件并显示其中包含的数据包的数量。

使用Scapy的方法如下:

  1. 打开Python解释器。
  2. 导入Scapy库:from scapy import all
  3. 打开要查看的pcap文件:sniff(offline="filename.pcap"),其中filename.pcap是要查看的pcap文件的名称。
  4. Scapy将读取pcap文件并返回其中包含的数据包的数量。

Linux命令查看pcap数据包中的报文数量

使用以下命令可以查看一个pcap数据包中的报文数量:

tcpdump -r your_pcap_file.pcap | wc -l

其中,your_pcap_file.pcap为你要检查的pcap文件的文件名。这条命令使用tcpdump解包pcap文件并计算其中的行数,也就是报文数量。注意,这个数字可能包括非常多的重复的报文(比如TCP重传),因此它可能会高于实际的报文数量。

过滤UDP包

只过滤UDP报文,如下所示:

tcpdump -r test.pcap "udp" | wc -l

这样可以查看到pcap数据包中所有的UDP报文的数量。

过滤指定长度的UDP包

如果您要查看长度为300的UDP报文数量,可以将管道符|后面的命令改成grep命令筛选长度为300的报文,如下所示:

tcpdump -r test.pcap "udp" | grep -c "length 300"

注意:上面的命令可能需要一定的时间来处理整个pcap文件。

过滤包体中包含关键字09:30:00的内容

可以使用以下命令:

tcpdump -r pcap_file -A | grep "09:30:00"

其中,pcap_file是需要查看的pcap文件名,-A选项表示将报文体以ASCII码形式输出,管道符号|将输出结果传递给grep命令,通过匹配关键字09:30:00来查找包含此关键字的内容。

Pcap数据资源下载汇总-多种场景协议流量
村中少年的专栏
01-19 4281
一些知名的pcap数据资源的汇总
手机查看pcap文件_Linux下如何操作 pcap 文件
weixin_31783001的博客
02-05 2097
导读如果你是一个测试入侵侦测系统或一些网络访问控制策略的网络管理员,那么你经常需要抓取数据并在离线状态下分析这些文件。当需要保存捕获的数据时,我们一般会存储为 libpcap 的数据格式 pcap,这是一种被许多开源的嗅探工具以及捕程序广泛使用的格式。如果 pcap 文件被用于入侵测试或离线分析的话,那么在将他们注入网络之前通常要先对 pcap 文件进行一些操作。在这篇文章中,我将介绍一些...
linux下的libpcap分析程序
11-13
基于linux的用c编写的抓分析程序,可给出的端口信息,ip地址信息,的长度,的类型及其他。
Linux tcpdump 命令详解:强大的命令行网络嗅探工具,用于捕获和分析经过计算机网络接口的数据
最新发布
yangchuang111213的博客
03-27 1220
功能命令捕获所有数据捕获指定数量的数据保存数据到文件从文件读取并分析数据捕获特定端口的数据捕获 ICMP 数据捕获特定网络的数据显示十六进制和 ASCII 内容tcpdump是网络分析和故障排查的重要工具,适用于网络管理员、开发人员、系统。
【C语言】Linux平台下解析pcap文件
undefined
10-09 1320
在wireshark上抓需要使用 Wireshark/tcpdump/ 且 文件后缀名为.pcap 方式保存。开发环境是readhat、ubuntu、kali。方法是需要自己写的。
Linux下如何过滤、分割以及合并 pcap 文件
weixin_34319999的博客
04-08 1530
如果你是一个测试***侦测系统或一些网络访问控制策略的网络管理员,那么你经常需要抓取数据并在离线状态下分析这些文件。当需要保存捕获的数据时,我们一般会存储为 libpcap 的数据格式 pcap,这是一种被许多开源的嗅探工具以及捕程序广泛使用的格式。如果 pcap 文件被用于***测试或离线分析的话,那么在将他们注入网络之前通常要先对 pcap 文件进行一些操作。在这...
linux全局查找以.pcap结尾的文件
RHWRH的博客
05-24 388
find / -name ‘*.pcap
Linux】tcpdump最详细使用指南
xy8310292的博客
07-21 2341
今天要给大家介绍的一个Unix下的一个,也就是我们常说的抓工具。与它功能类似的工具有,不同的是,wireshark有图形化界面,而tcpdump则只有命令行。可以用wireshark读取生成的pcap文件,用wireshark的图形化界面分析tcpdump结果数据。...
Linux网络抓分析工具(tcpdump、wireshark)
热门推荐
liji133122的博客
08-22 1万+
Linux网络抓分析工具(tcpdump、wireshark)
linux下tcpdump命令
Orange_hhh的博客
04-09 1454
命令行参数介绍:-A 以ASCII格式打印出所有分组,并将链路层的头最小化。-c 在收到指定的数量的分组后,tcpdump就会停止。-C 在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。-d 将匹配信息的代码以人们能够理解的汇编格式给出。
pcap文件linux怎么打开,pcap文件格式 - 方恨少 - 博客园
weixin_29906279的博客
05-07 1850
前段时间因工作要求,需要对各种数据进行分析和操作,内容涉及网路协议分析,socket,文件操作等。在此分享下学习和实践的经验。首先介绍下网络抓、协议分析的必备软件Ethereal,新版(Wireshark)以下还以Ethereal代之,目前最新版本已经支持在无线局域网抓了。Linux和Windows均有对应安装,它们分别是gcc和VC++编译的。不过Windows下是基于Winpcap而L...
pcaplinux简单实现网络的抓程序
12-14
linux简单实现网络的抓程序,仅供参考喔
linux pcap 报文 解析 报头剥离
04-30
#########################功能说明################## pcapedit 程序可对pcap报文进行报文过滤,剥离部分头及打标签功能。 支持通过pcap.conf配置文件设置标签内容及长度。 程序启动时,会导入配置文件中的标签内容,之后会将pcap中的每个数据末尾都打上该标签。标签内容填充不足,自动补0. ################################################## *************************可处理报文格式说明******** 可处理的报文格式需如下:ETH格式 --》ipv4 --> udp --> gtp_2152 --> ipv4 -->tcp -->http 剥离特殊头后的帧格式:ETH格式 --》ipv4 --> tcp -->http *************************************************** @@@@@@@@@@@@@@@@@@@@@@@@@使用说明@@@@@@@@@@@@@@@@@ 将pcapedit 和 配置文件放到用一路径下,处理处的结果文件保存在当前路径。 [root@localhost cll]# ./pcapedit Input the pcap file name:3g_ctrl_data.pcap //符合帧格式的pcap文件处理结果 starting parse pcap file... 3g_ctrl_data.pcap input mark success! Input the pcap file name:aagxxx_data.pcap //符合帧格式的pcap文件处理结果 starting parse pcap file... aagxxx_data.pcap input mark success! Input the pcap file name:new3g_user.pcap //不符合帧格式的pcap文件处理结果 starting parse pcap file... cann't find target format packet. new3g_user.pcap input mark fail! Input the pcap file name:exit //exit 退出程序 [root@localhost cll]# @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
linux pcap应用
09-28
附安装文档,源代码,含注释。 对新手快速掌握libpcaplinux下的应用非常有帮助。
pcap文件linux怎么打开,pcap文件用什么打开
weixin_30234101的博客
05-07 5957
linux 应用 pcap文件怎么打开如果你是一个测试入侵侦测系统或一些网络访问控制策略的网络管理员,那么你经常需要抓取数据并在离线状态下分析这些文件。当需要保存捕获的数据时,我们一般会存储为 libpcap 的数据格式 pcap,这是一种被许多开源的嗅探工具以及捕程序请问用什么软件打开*.pcap格式的文件?CSS布局HTML小编今天和大家分享解wireshark 怎么打不开pcap文件...
linux分析cap文件,cap数据文件解析
weixin_39978282的博客
04-30 1783
windows下的wireshark和Linux下的tcpdump所抓的为同样的CAP文件的格式,sniffer软件所抓的文件扩展名也是.cap,但格式却不太一样。本文主要说明ethereal和tcpdump抓产生的.cap文件的格式。其实,要获得PCAP文件的格式,除了直接打开.cap文件来分析外,可以看WinPcapLinux下/usr/include下的pcap.h头文件。pcap...
linuxpcap文件解析头文件,在linux下操作pcap文件的各種方法整理
weixin_29605669的博客
04-28 735
Editcap 與 MergecapWireshark,是最受歡迎的 GUI 嗅探工具,實際上它帶了一套非常有用的命令行工具集。其中括 editcap 與 mergecap。editcap 是一個萬能的 pcap 編輯器,它可以過濾並且能以多種方式來分割 pcap 文件。mergecap 可以將多個 pcap 文件合並為一個。 這篇文章就是基於這些 Wireshark 命令行工具的。如果你已經安...
Linux安装pcap
出门左拐是海的博客
06-15 2412
一.安装PCAP 1.安装位置 首先要明确在linux下,标准C库的位置是在/usr/include中,所以我们如果要调用库文件(pcap.h),如: 那么就要把pcap文件安装在/usr/include文件夹下。 2.步骤 到 http://www.tcpdump.org 网站下载 libpcap, 例子下载的是libpcap1.9.1.gz 在命令行中输入 sudo apt-get install flex 在命令行中输入 sudo apt-get install bison 在文件下载的目录下,命
linux查看cap文件,如何使用tcpdump在Mac OS X上读取.cap数据捕获文件 | MOS86
weixin_36066355的博客
04-29 4294
还可以执行数据跟踪或嗅探和捕获来自网络的数据,结果通常是创建一个。上限捕获文件。那个无论您使用何种嗅探网络,网络管理员和安全性专业人士中相当常见的任务,都会创建cap,pcap或wcap数据捕获文件。也许最简单的打开,阅读和解读的方法。cap文件在Mac或Linux机器上使用内置的tcpdump实用程序。假设您已经捕获了网络连接的数据跟踪,并使用a创建了捕获的数据文件。帽,。pcap或。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值