큰 흐름을 wireshark의 거대한 pcap에서 한번에 선택합니다.

Question

저는 1000pc 플로우 이상의 커다란 pcap을 가지고 있습니다. 내가 큰 흐름을 필터링하려는 경우 100보다 큰 패킷을 말하고 싶습니다. 내가 대화에 가서 그 흐름을 마우스 오른쪽 버튼으로 클릭하면 그 흐름을 걸러 낼 수 있습니다. 그런 다음 몇 차례해야합니다. 거대한 pcap을 가지고 있기 때문에 초과 할 수 있습니다. 100. 거기에 어떤 빠른 디스플레이 필터를 사용할 수 있습니다 어떤 패킷의 수를 가지고 흐름을 줄 것입니다> n (n + 모든 ve 정수).

flow.num_pkt > 100 

나에게 그러한 흐름을 줄 수있는 :

같은 일부 필터는 말한다. 어떤 도움이 크게 감사합니다

고마워요.

Answer 1

Bro은 연결 지향 분석을위한 도구입니다. 흐름 당 패킷의 수를 확인하려면, 당신은 단순히 추적에 브로를 실행하고 로그에서 값을 추출 실행

bro -r trace.pcap 
bro-cut id.orig_h id.orig_p id.resp_h id.resp_p orig_pkts resp_pkts < conn.log \ 
    | awk '$5+$6 > 100 {print $1,$2,$3,$4,$5,$6}' \ 
    | sort -rn -k 5 \ 
    | head 

를이 다음과 같은 출력을 제공합니다

192.168.1.105 49325 137.226.34.227 80 73568 146244 
192.168.1.105 49547 198.189.255.74 80 16764 57098 
192.168.1.105 49531 198.189.255.74 80 5186 14843 
192.168.1.105 49255 198.189.255.73 80 4749 32164 
192.168.1.104 1422 69.147.86.184 80 2657 2656 
192.168.1.105 49251 198.189.255.74 80 2254 13854 
192.168.1.1 626 224.0.0.1 626 2175 0 
192.168.1.105 49513 198.189.255.82 80 2010 3852 
192.168.1.103 2026 151.207.243.129 80 1953 2570 
192.168.1.105 49330 143.166.11.10 64334 1514 3101 

도구를 bro-cut 배송을 Bro는 로그에서 특정 명명 된 열을 추출하는 편리한 방법을 제공합니다. 이 작업을 위해, 당신이 원하는 :

• id.orig_h : 연결 발신자의 IP (소스)
• id.orig_p : 연결 발신자의 전송 계층 포트 (소스)
• id.resp_h : 연결 응답자의 IP (목적지)
• id.resp_p : 접속 응답의 전송 계층 포트 (소스)
• orig_pkts : 송신자에 의해 전송 된 패킷의 수
,691,363,210
• resp_pkts : 응답기에 의해 전송 된 패킷의 수

참고 awk 필터 식 :

awk '$5+$6 > 100 {print ...}' 

그것은 100

보다 큰 패킷의 총 개수가 해당 연결에 대한 출력 제한

고정 크기 패킷이 없으면 패킷 크기 (IP 또는 TCP 페이로드)와 같은 다른 메트릭도 조사하는 것이 좋습니다. 이들은 orig_bytes 및 resp_bytes 열을 통해 연결 로그에 쉽게 있습니다.