我有一个场景,我有一个大块 PCAP 文件包含不同的流(共享源 IP 和端口、目标 IP 和源以及 TCP/UDP)。
我想知道是否可以使用 tshark 将这个大 pcap 文件拆分为不同的 pcap 文件流。每个 PCAP 文件都包含一个流。
我找到了这段代码,但它适用于 TCP 连接
用于流入tshark -r ~/Downloads/http.cap -T fields -e tcp.stream | sort -n | uniq
做
回声$流
tshark -r ~/Downloads/http.cap -w stream-$stream.cap -R "tcp.stream==$stream"
完毕
我正在寻找如何拆分 UDP 连接?
非常感谢您提前提供的帮助。麦克风
SplitCap是您的朋友。
SplitCap 是一个开源的 pcap 文件拆分器。默认情况下,它根据 UDP 和 TCP 会话将 pcap 拆分为多个文件。每个会话的输出是一个文件。
$ splitcap -r yourfile.pcap
您可以在我关于SplitCap 和 TShark的文章中阅读更多提示
Splitcap 使用该-y L7标志工作,但这也可以使用 tshark 完成,如下所示:
tshark -r http.cap -T fields -e data | xxd -r -p > out.bin
将 tshark 的输出通过管道传输到 xxd 是必要的,因为 tshark 的输出是十六进制的。而且您可能希望在 tshark 上按主机(使用-R或-Y标志)进行过滤,以便最终得到连续的数据输出。