我是网络流量分析的新手。
我使用了以下Tshark命令,但没有运气。
C:\ Program Files \ Wireshark> tshark -r C:\ Users \ Ravi \ Desktop \ IDS-augustdocuments \ iscxdataset \ testbed13jun.pcapCopy \ split \ small_00057_20100613213752.pcap separator =, - R“tcp.dat a“-T字段frame.number -e appName -e totalSourceBytes> C:\ Users \ Ravi \ Desktop \ IDS-augustdocuments \ iscxdataset \ testbed13jun.pcapCopy \ split \ 18oct.csv tshark:“=”在这种情况下出乎意料。
有关提取诸如Direction(for the flows),totalSourceBytes,totalDestinationBytes,totalDestinationPackets,totalSourcePackets,sourceTCPFlagsDescription等功能的任何建议。
答案 0 :(得分:2)
是。兄弟IDS或Argus(审计网络活动)。
阿古斯的例子:
racluster -L0 -m proto -r filepcap.arg -s proto saddr daddr spkts dpkts sbytes dbytes
Proto SrcAddr DstAddr SrcPkts DstPkts SrcBytes DstBytes
udp 84.125.xxx.xxx 0.0.0.0 2634 2580 205131 317889
tcp 84.125.xxx.xxx 0.0.0.0 34143 42585 6078099 48276978
arp 84.125.xxx.xxx 84.xxx.xxx.x 3 3 126 180
最诚挚的问候,
答案 1 :(得分:1)
你必须使用引号:
隔板=""
答案 2 :(得分:0)
我使用Bro IDS从conn.log文件中获取必需的字段。 1)配置Bro IDS (点击此链接安装Bro IDS) https://www.digitalocean.com/community/tutorials/how-to-install-bro-ids-2-2-on-ubuntu-12-04 2)启动Bro ID 3)使用命令“bro -r your pcap file.pcap”,这将在当前目录中生成.log文件。 4)检查日志,如conn.log,dns.log,http.log等,以获取pcap日志文件中的不同信息。