wireshark流量包分解合并工具

2018-07-05 10:44:17 出处:软件园 作者:动力软件园 责任编辑:honhole

流量包分解合并(Wireshark自带)

editcap.exe -c 100D:\dump.pcap D:\test.pcap

640.webp (1).jpg


15307584864801953455513137435.jpg



在wireshark中通过filter过滤出sip信令,但是在多个文件中,megecap可以将多个pcap文件合并为一个文件。


用法:mergecap-w <输出文件> <源文件1> <源文件2>...


示例:

mergecap-w compare.pcap a.pcap b.pcap

Tshark-r target.pcap -Y pop -w pop.pcap


附录2:Tshark使用参数详解

Tshark官方文档https://www.wireshark.org/docs/man-pages/tshark.html


捕获接口:

  -i:-i指定捕获接口,默认是第一个非本地循环接口;

-f:-f设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。

-s:-s设置快照长度,用来读取完整的数据包,因为网络中传输有65535的限制,值0代表快照长度65535,默认也是这个值;

   -p:以非混合模式工作,即只关心和本机有关的流量。

   -B:-B设置缓冲区的大小,只对windows生效,默认是2M;

-y:-y设置抓包的数据链路层协议,不设置则默认为-L找到的第一个协议,局域网一般是EN10MB等;

   -D:打印接口的列表并退出;

   -L:列出本机支持的数据链路层协议,供-y参数使用。


捕获停止选项:

   -c:-c捕获n个包之后结束,默认捕获无限个;

   -a:-a...duration:NUM,在num秒之后停止捕获;

   filesize:NUM,在numKB之后停止捕获;

   files:NUM,在捕获num个文件之后停止捕获;


捕获输出选项:

   -b... ringbuffer的文件名由-w参数决定,-b参数采用test:value的形式书写;

   duration:NUM- 在NUM秒之后切换到下一个文件;

   filesize:NUM- 在NUMKB之后切换到下一个文件;

   files:NUM- 形成环形缓冲,在NUM文件达到之后;


RPCAP选项:

   remotepacket capture protocol,远程抓包协议进行抓包;

   -A: -A:,使用RPCAP密码进行认证;


输入文件:

  -r:-r设置读取本地文件


处理选项:

  -2:执行两次分析

  -R:-R,包的读取过滤器,可以在wireshark的filter语法上查看;在wireshark的视图->过滤器视图,在这一栏点击表达式,就会列出来对所有协议的支持。

   -Y:-Y,使用读取过滤器的语法,在单次分析中可以代替-R选项

   -n:禁止所有地址名字解析(默认为允许所有)

  -N:启用某一层的地址名字解析。“m”代表MAC层,“n”代表网络层,“t”代表传输层,“C”代表当前异步DNS查找。如果-n和-N参数同时存在,-n将被忽略。如果-n和-N参数都不写,则默认打开所有地址名字解析。

  -d:将指定的数据按有关协议解包输出,如要将tcp8888端口的流量按http解包,应该写为“-dtcp.port==8888,http”;tshark -d. 可以列出所有支持的有效选择器。

  

输出选项:

  -w:-w设置raw数据的输出文件。这个参数不设置,tshark将会把解码结果输出到stdout,“-w-”表示把raw输出到stdout。如果要把解码结果输出到文件,使用重定向“>”而不要-w参数。

  -F:-F,设置输出的文件格式,默认是.pcapng,使用tshark-F可列出所有支持的输出文件类型。

  -V:增加细节输出;

   -O:-O,只显示此选项指定的协议的详细信息。

  -P:即使将解码结果写入文件中,也打印包的概要信息;

  -S:-S行分割符

  -x:设置在解码输出结果中,每个packet后面以HEXdump的方式显示具体数据。

  -T:-Tpdml|ps|text|fields|psml,设置解码结果输出的格式,包括text,ps,psml和pdml,默认为text

   -e:如果-Tfields选项指定,-e用来指定输出哪些字段;

   -E:-E=如果-Tfields选项指定,使用-E来设置一些属性,比如

    header=y|n

separator=/t|/s|

occurrence=f|l|a

aggregator=,|/s|

   -t:-t a|ad|d|dd|e|r|u|ud设置解码结果的时间格式。“ad”表示带日期的绝对时间,“a”表示不带日期的绝对时间,“r”表示从第一个包到现在的相对时间,“d”表示两个相邻包之间的增量时间(delta)。

  -u:s|hms 格式化输出秒;

  -l:在输出每个包之后flush标准输出

  -q:结合-z选项进行使用,来进行统计分析;

  -X:扩展项,lua_script、read_format,具体参见manpages;

  -z:统计选项,具体的参考文档;tshark-z help,可以列出,-z选项支持的统计方式。

  

其他选项:

  -h:显示命令行帮助;

  -v:显示tshark的版本信息;


附录3:Pyshark过滤参数

a=pyshark.FileCapture(path,display_filter='http')

a为定义pcap文件对象


本次主要用到过滤参数有

a.highest_layer   最高层的协议内容

a.http.request_method   请求方法

a.http.chat     访问方法加路径

a.http.request_uri      访问路径

a.http.host访问host地址

a.http.field_names    http包参数

a.ip.src_host源ip地址

a.ip.dst_host目的地址

a.http.request_full_uri   url地址

str(c.http.file_data)    返回包内容




广告
广告
热门软件
3333
() ()
相关文章
相关软件