Wiresharkからpcapファイルを分析する最良の方法?
Wiresharkからキャプチャされた50〜100MBのpcapファイルを持っているので、ほとんどのトラフィックの送信元/送信元を分析する必要があります。
これを行う最良の方法は何ですか?理想的には、上位50個程度のIPアドレスを示すExcelのcsvファイルを作成して、ソートおよび分析できるようにしたいと思います。
送信元アドレス
tshark -T fields -e ip.src -r somefile.pcap
宛先アドレスによって
tshark -T fields -e ip.dst -r somefile.pcap
これらのいずれかにパイプします。並べ替え| uniq -c |ソート-n |尾-50
あなたはトップのsrc/dstペアを得ることができます
tshark -T fields -e ip.src -e ip.dst -r somefile.pcap
使用できるフィールドのリストを取得するには
tshark -G fields
(警告、wiresharkにはフィールドの圧倒的なリストがあります)
tshark 統計を使用することもできます。
下記は用例です:
$ tshark -r http.pcap -q -z conv、eth -z conv、ip -z conv、tcp TCP会話 フィルター: | | |合計| |フレームバイト| |フレームバイト| |フレームバイト| 192.168.108.128:1047 64.186.152.93:80 9 7834 7 1358 16 9192 192.168.108.128:1048 64.186.152.93:80 4 1868 4 623 8 2491 ================================================== ============================== =============== ================================================== =============== IPv4会話 フィルター: | | |合計| |フレームバイト| |フレームバイト| |フレームバイト| 192.168.108.128 64.186.152.93 13 9702 11 1981 24 11683 192.168.108.128 192.168.108.2 1 202 1 73 2 275 ========= ================================================== ====================== ======================= ================================================== ======= Ethernet Conversations Filter: | | |合計| |フレームバイト| |フレームバイト| |フレームバイト| 00:0c:29:61:82:89 00:50:56:ee:98:59 14 9904 13 2096 27 12000 00:50:56:ee:98 :59 ff:ff:ff:ff:ff:ff 0 0 1 60 1 60 ========================== ================================================== ==== $ tshark -r http.pcap -q -z conv、eth、eth.addr == 00:0c:29:61:82:89 -z conv、ip、ip.addr == 192.168.108.2 -z conv、tcp、ip.addr == 64.186.152.93 ================== ================================================== ============= TCP会話 Filter:ip.addr == 64.186.152.93 | | |合計| |フレームバイト| |フレームバイト| |フレームバイト| 192.168.108.128:1047 64.186.152.93:80 9 7834 7 1358 16 9192 192.168.108.128:1048 64.186.152.93:80 4 1868 4 623 8 2491 ================================================== ============================== =============== ================================================== =============== IPv4会話 フィルター:ip.addr == 192.168.108.2 | | |合計| |フレームバイト| |フレームバイト| |フレームバイト| 192.168.108.128 192.168.108.2 1 202 1 73 2 275 ========================== ================================================== ===== ======================================== ======================================== Ethernet Conversations Filter:eth.addr == 00:0c:29:61:82:89 | | |合計| |フレームバイト| |フレームバイト| |フレームバイト| 00:0c:29:61:82:89 00:50:56:ee:98:59 14 9904 13 2096 27 12000 ========== ================================================== =====================