Ниже приведен вывод из моего файла PCAP.

20:02:52.306161 192.162.70.150.58078 > 192.179.91.61.1194: P 635362993:635363048(55) ack 2046024708 win 4373 <nop,nop,timestamp 52993632 1059054949> (DF)
20:02:52.532863 192.179.91.61.1194 > 192.162.70.150.58078: . ack 55 win 32038 <nop,nop,timestamp 1059062357 52993632> (DF)
20:02:53.157004 802.1d unknown version
20:02:54.759542 arp who-has 192.168.70.34 tell 192.168.70.1
20:02:55.156980 802.1d unknown version
20:02:55.759507 arp who-has 192.168.70.6 tell 192.168.70.1
20:02:55.759540 arp who-has 192.168.70.105 tell 192.168.70.1
20:02:56.148167 192.179.91.61.1194 > 192.168.70.150.58078: P 1:56(55) ack 55 win 32038 <nop,nop,timestamp 1059065972 52993632> (DF)
20:02:56.148258 192.168.70.150.58078 > 192.179.91.61.1194: . ack 56 win 4373 <nop,nop,timestamp 52994592 1059065972> (DF)

Есть ли способ отфильтровать содержимое по следующему шаблону

Timestamp | source IP | source Port | destination IP | destination port | protocol | packet size

Доступные команды: tcpdump, tcpslice, tcpstat, tcpprof, tcpparse

0
Gautham Sreenivasan 10 Сен 2020 в 14:11
Можете ли вы показать желаемый результат для этого примера содержимого файла?
 – 
AdminBee
10 Сен 2020 в 16:56
Вы не должны публиковать один и тот же вопрос на двух сайтах SE. См. meta.stackexchange.com/questions/64068/…
 – 
A.B
13 Сен 2020 в 03:38
И что это должно дать для пакетов, отличных от IP, таких как пакеты ARP/802.1d здесь. Под «протоколом» вы подразумеваете транспортный протокол поверх IP для тех, которые таковыми являются (tcp/udp/sctp/icmp...)? Под размером пакета вы подразумеваете размер кадра, захваченного tcpdump (включая канальный уровень и заголовки IP), или только полезную нагрузку этих кадров (так, для пакетов IP, включая заголовок IP и полезную нагрузку ( включая заголовок TCP/UDP)) или полезную нагрузку IP или полезную нагрузку транспортного протокола?
 – 
Stéphane Chazelas
22 Окт 2020 в 15:09

2 ответа

Лучший ответ

Для анализа tcpdump из командной строки можно использовать команду tcpparse. Например:

# tcpparse tcpdump_file.pcap

6 192.135.33.41 132 > 192.168.20.119 1544 74
6 192.168.20.119 57604 > 192.135.33.41 1194 66
6 192.168.20.119 57604 > 192.135.33.41 1194 110
6 192.135.33.41 1194 > 192.168.20.119 57604 66
6 192.135.33.41 1194 > 192.168.20.119 57604 122
6 192.168.20.119 57604 > 192.135.33.41 1194 66
6 192.168.20.119 57604 > 192.135.33.41 1194 118

Объяснение столбцов: -

  1. протокол
  2. исходный IP-адрес
  3. исходный порт
  4. IP-адрес получателя
  5. порт назначения
  6. размер пакета.

Точно так же можно использовать tcpdump -r.

1
Gautham Sreenivasan 30 Окт 2020 в 08:34

Вам будет проще загрузить файл захвата в wireshark, который аккуратно сделает это за вас в окне «разговоров».

В противном случае загляните в эту тему: https://serverfault.com/questions/273066/tool-for- разделение файлов pcap по TCP-соединению

0
JoDeref 10 Сен 2020 в 16:27
К сожалению, я не могу установить какие-либо другие инструменты/команды, поэтому я перечислил доступные команды, которые можно использовать.
 – 
Gautham Sreenivasan
10 Сен 2020 в 16:35
Вы не можете перенести файл PCAP на свой компьютер для анализа с помощью Wireshark? Если это тоже не вариант, вы можете написать скрипт Python для анализа файла захвата (для этой цели есть модули), но вам потребуется установить Python на машину.
 – 
JoDeref
10 Сен 2020 в 16:53