Як перетворити файли захоплення проводів у текстові файли?


9

Як я можу конвертувати файли wirshark captures (.cap) у текстові файли чи якийсь формат, з якого я можу прочитати файл та проаналізувати його вміст?

Відповіді:


10

Відкрийте Wireshark, виберіть файл .cap, а потім перейдіть до Файл-> Експорт та виберіть потрібні параметри.

Отже, якщо вам потрібно зробити це з командного рядка, використовуйте tshark.exe, як описано нижче.

>tshark -i - < "c:\filename.cap" > "c:\output.txt

Якщо ви хочете записати декодовану форму пакетів у файл, запустіть TShark без параметра -w і перенаправляйте його стандартний вихід у файл (не використовуйте параметр -w).


Файл-> Зберегти як також має численні формати.
Девід

@David - жоден з них не читабельний для людей, всі вони призначені для використання з іншими аналізаторами руху. "Експорт" - це той, який отримує дружні текстові файли або структуровані речі, такі як PS, CSV тощо.
mfinni

вибачте, що забув згадати. Я хочу перетворити його за допомогою якогось командного рядка?
Відя

Гаразд, відредагував мою відповідь, щоб включити параметри командного рядка. @Davey, нижче, також опублікував хорошу відповідь, використовуючи додатковий інструмент, який ви можете або не матимете, tcpdump.
mfinni

7

Варіант-tcpdump друкує кожен пакет в читаному для ASCII людині і радісно працює з файлами дротів, і ви можете це зробити з командного рядка:

tcpdump -A -r stackoverflow.cap > stackoverflow.txt

Вихід виглядає так:

9:22:33.664874 IP 192.168.1.11.33874 > stackoverflow.com.www: Flags [P.], seq 1117095075:1117095829, ack 3371415182, win 9648, options [nop,nop,TS val 9533909 ecr 313735664], length 754
E..&..@.@../....E;...R.PB.........%........
..y...9.GET / HTTP/1.1
Host: serverfault.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __qca=P0-141773580-1259521886021; __utmz=81883924.1275328201.133.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=hudson%20build%20dir; usr=t=kXSBoIG5Jk6S&s=wGmaIuhAD0eH; __utma=81883924.2034104685.1272993451.1276186265.1276193655.189; __utmc=81883924; __utmb=81883924.6.10.1276193655
If-Modified-Since: Thu, 10 Jun 2010 10:17:12 GMT

Якщо припустити, що він працює на Unix. Або запущений WinDump або інший клон Windows із TCPDump. Оскільки хлопець згадав Wireshark, я обмежив свою відповідь інструментами, що входять до пакету Wireshark.
mfinni

2

Я використовую tshark -x -r file.pcapкомандний рядок, коли вихідний тип, подібний до шістнадцяткових, добре підходить для обробки даних.


0

Хіба ви не можете відкрити wireshark та відкрити цей .cap файл, а потім експортувати його з меню файлів у вигляді текстового файлу? Намагаюся згадати з моєї голови, але я думав, що ти можеш ...


вибачте, що забув згадати. Я хочу перетворити його за допомогою якогось командного рядка?
Відя

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.