Ferramenta CLI para analisar capturas de pcap [closed]

2

Eu estou procurando uma ferramenta de linha de comando que irá olhar para um arquivo de captura, tcpdump -w output, e dar saída equivalente à informação que você obtém no Wireshark conversations e endpoint estatísticas.

Para te dar um pouco de experiência, tenho a saída de uma grande captura (~ 3GB, em 40 arquivos) que não posso transferir facilmente para uma máquina onde posso executar o Wireshark, dada a baixa largura de banda.

    
por Zoredache 06.01.2011 / 20:26

2 respostas

6

Para expandir a resposta de Niall, você pode tentar

tshark -r <capture file> -q -z conv,ip

O -q desativa a saída normal e -z conv,ip despeja os dados de conversação IP. Mais informações podem ser encontradas na página do manual e em Apresentar a apresentação Sharkfest do Blok .

    
por 06.01.2011 / 22:17
2

Existe um componente de linha de comando para o wireshark chamado tshark que faria o que você precisa. Há melhores instruções disponíveis aqui.

Infelizmente, os endpoints parecem estar disponíveis apenas na GUI.

Outra alternativa pode ser usar o X Forwarding para executar o Wireshark no lado oposto e encaminhar a GUI para a sua área de trabalho local. Sem saber qual sistema operacional você está usando na sua área de trabalho, não sei o quanto isso será possível.

UPDATE: Mais detalhes adicionados conforme a solicitação de comentários.

    
por 06.01.2011 / 20:34