使用Tshark提取PCAP

时间:2019-06-20 18:43:26

标签: security iot wireshark tshark wireshark-dissector

我正在尝试使用Tshark工具提取PCAP。有什么方法可以获取文件信息,例如源和目标IP,从Tshark提取的每个文件的源和目标端口以及时间戳? 例如。 我正在使用http命令提取文件sample.pcap:

tshark -q -r sample.pcap --export-objects 'http,tshark_extract_directory'

生成以下文件,

  

%2f
  gSEUozajoHorzUcfwjgep5-0HOV5tn4pzQS8exfGPXFOBGBQWrEcD1wKpJQk2T59   3h251q2c35
  qxrWmriaPVb2cBLwxw1uR_EEnOuZR9mgVr3ReB3-1yiVm9H15-VbU3vylDw4RGW3   d2a42e1f7d9a1021bd7d93af414c95c4(1).php%3fq = 70a9b40eb73da11445c3a3609c8241d9'   RSBbr6XDxZwv-i2lhZFras66SJRIL5vez28iuddGQjo94jue4fGqpAN9QPAW_yPY   d2a42e1f7d9a1021bd7d93af414c95c4.php%3fq = 70a9b40eb73da11445c3a3609c8241d9'   xEztiZ7NM12Vj9c2RTB_MT0UEYH_re0UqLWZq_vBhBZGq0KGVP1BTVXxVeSy3Veo   d6bc1dc7da4ed54a62b93b5d0f1cc40c.swf

解压缩的文件似乎没有正确的命名,即使我查看文件内部,我也几乎找不到所需的信息。 是否可以获取“ 3h251q2c35”文件的源和目标IP或端口?如果可能的话如何?

1 个答案:

答案 0 :(得分:0)

您可以使用-T&-e选项,该选项可以从pcap文件中提取单个字段 -Tjson的示例

tshark -r <pcap_file> -Y <filter> -Tjson -e ipv6.src -e ipv6.dst -e tcp.srcport -e tcp.dstport -e frame.time

您应该得到类似的东西

[
  {
    "_index": "packets-2019-08-12",
    "_type": "pcap_file",
    "_score": null,
    "_source": {
      "layers": {
        "ipv6.src": [
          "xxxxxx"
        ],
        "ipv6.dst": [
          "xxxxxx"
        ],
        "tcp.srcport": [
          "1"
        ],
        "tcp.dstport": [
          "2"
        ],
        "frame.time": [
          "<time>"
        ]
      }
    }
  }
]

希望有帮助!

相关问题
最新问题