2
나는 pcap 파일을 가지고 있는데, tcpdump를 가지고있다. 모든 키워드를 검색하고이 문자열이 포함 된 파일을 기록해야합니다. 아마도 tcpdump 명령을 사용하여 이러한 키워드에 대한 검색을 자동화하는 방법이 있습니까?많은 pcap 파일을 통해 tcpdump로 검색하기
A
답변
1
tcpdump, tshark의 강력한 버전이 있습니다 (wireshark 패키지의 명령 줄 도구입니다). tshark -T fields | pdml | ps | psml | 텍스트를 사용하여 원하는 형식으로 패킷을 덤프하고 grep 만 할 수 있습니다. tshark는 tcpdump 덤프를 읽을 수 있습니다. foo 당신이 검색하는 문자열입니다
tshark -r file.pcap -Y "frame contains foo"
... :
+0
나는 이것을 어떻게 사용할 것인지 잘 모르겠습니다. 캡처 파일 (capture.pcap)이 있고 파일에 키워드 "example1"및 "example2"가 있는지 검색하려고합니다. 솔루션을 어떻게 사용합니까? –
2
아마 tshark를 사용하는 가장 일반적인 해결책은 뭔가를 실행하는 것입니다. contains 및 Perl 호환 정규 표현식을 지원하는 matches 연산자와 같은 다른 연산자를 사용한 필터링에 대한 자세한 내용은 wireshark-filter man page을 참조하십시오.
이 명령을 사용하면 표시되는 출력은 필터와 일치하는 각 패킷의 1 줄 요약이됩니다. 당신은 메소드를 사용하여 출력을 조정할 수 있지만, 예를 들어, 당신은 단지 일치하는 패킷의 프레임 번호를 알고 싶어한다고 가정 수, 당신은 실행할 수 있습니다 :
이tshark -r file.pcap -Y "frame contains foo" -T fields -e frame.number
가 -T에 대한 자세한 정보는 tshark man page를 참조하십시오 및 -e 옵션과 함께 사용할 수있는 다른 옵션이 있습니다.
아마도'''dpkt'' 모듈을 사용하는 파이썬 스크립트는 그 목표를 달성하는 데 도움을 줄 수 있습니다. –