数据包过滤及分析实例 tshark tcpdump
发布时间:2020-12-15 16:33:29 所属栏目:安全 来源:网络整理
导读:博客链接: http://codeshold.me/2017/08/tcpdump_tshark_notes.html 平时需要对数据包进行分析和统计,尽管使用python scapy库来开发很方便,但若是熟悉tshark(wireshark的命令行),tcpdump 等工具,含editcap,mergecap 等,写个简单的shell分析脚本,那会
博客链接: http://codeshold.me/2017/08/tcpdump_tshark_notes.html
简介
常用实例tshark (editcap,capinfos)
# 过滤出 src.pcap 中 2017-06-17 10:40:00 到 2017-06-17 10:50:00 之间的数据包,其中 -F 参数表示文件格式,即 the file format of the output capture file! 留意 pcapng 格式的数据包
editcap -A "2017-06-17 10:40:00" -B "2017-06-17 10:50:00" src.pcap -F pcap dst.pcap
# -n 不进行域名解析, 其他参数的意思 man tshark
tshark -n -r src.pcap -Y "tcp.analysis.retransmission" -T fields -e tcp.stream | wc -l
echo -e "The number of retransmission packets"
# 通过 -z 参数
tshark -z io,stat,0,"tcp.analysis.retransmission" -n -q -r src.pcap
# -c 显示文件中数据包的个数
capinfos -c -M src.pcap
content=$(capinfos -c -M src.pcap)
total=$(echo $content | grep packet | cut -d : -f 3) # 获取文件中数据包的个数
tshark -z io,5,"ip.addr==180.153.15.118","ip.src==180.153.15.118","ip.dst==180.153.15.118" -n -q -r 1030_1038_8300.pcap > five_second.csv
tshark -z io,"ip.addr==180.153.15.118 && tcp.analysis.retransmission",
"ip.src==180.153.15.118 && tcp.analysis.retransmission",
"ip.dst==180.153.15.118 && tcp.analysis.retransmission"
-n -q -r src.pcap > dst.csv
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |