Eu tenho arquivos pcap de 50-100MB capturados do Wireshark e preciso analisar onde a maior parte do tráfego vai para / vindo de.
Qual é a melhor maneira de fazer isso? Idealmente, gostaria de terminar com um arquivo csv do Excel mostrando os 50 endereços IP mais ou menos para que eu possa classificar e analisar.
por endereço de origem
tshark -T fields -e ip.src -r somefile.pcap
por dest address
tshark -T fields -e ip.dst -r somefile.pcap
canalize qualquer um desses para | classificar | uniq -c | sort -n | cauda -50
você pode obter os principais pares src / dst com
tshark -T fields -e ip.src -e ip.dst -r somefile.pcap
Para obter uma lista de campos com os quais você pode trabalhar
tshark -G fields
(aviso, wireshark tem uma lista impressionante de campos)
Você também pode usar as tshark estatísticas:
Aqui estão alguns exemplos:
$ tshark -r http.pcap -q -z conv,eth -z conv,ip -z conv,tcp
TCP Conversations
Filter:
| | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
192.168.108.128:1047 64.186.152.93:80 9 7834 7 1358 16 9192
192.168.108.128:1048 64.186.152.93:80 4 1868 4 623 8 2491
================================================================================
================================================================================
IPv4 Conversations
Filter:
| | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
192.168.108.128 64.186.152.93 13 9702 11 1981 24 11683
192.168.108.128 192.168.108.2 1 202 1 73 2 275
================================================================================
================================================================================
Ethernet Conversations
Filter:
| | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
00:0c:29:61:82:89 00:50:56:ee:98:59 14 9904 13 2096 27 12000
00:50:56:ee:98:59 ff:ff:ff:ff:ff:ff 0 0 1 60 1 60
================================================================================
$ tshark -r http.pcap -q -z conv,eth,eth.addr==00:0c:29:61:82:89 -z conv,ip,ip.addr==192.168.108.2 -z conv,tcp,ip.addr==64.186.152.93
================================================================================
TCP Conversations
Filter:ip.addr==64.186.152.93
| | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
192.168.108.128:1047 64.186.152.93:80 9 7834 7 1358 16 9192
192.168.108.128:1048 64.186.152.93:80 4 1868 4 623 8 2491
================================================================================
================================================================================
IPv4 Conversations
Filter:ip.addr==192.168.108.2
| | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
192.168.108.128 192.168.108.2 1 202 1 73 2 275
================================================================================
================================================================================
Ethernet Conversations
Filter:eth.addr==00:0c:29:61:82:89
| | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
00:0c:29:61:82:89 00:50:56:ee:98:59 14 9904 13 2096 27 12000
================================================================================