Jak przekonwertować pliki przechwytywania wireshark na pliki tekstowe?

9

Jak przekonwertować pliki przechwytywania wirshark (.cap) na pliki tekstowe lub inny format, z którego mogę odczytać plik i przeanalizować jego zawartość?

command-line-interface wireshark Widja
źródło

Odpowiedzi:

10

Otwórz Wireshark, wybierz plik .cap, a następnie przejdź do Plik-> Eksportuj i wybierz odpowiednie opcje.

Jeśli więc musisz to zrobić z wiersza poleceń, użyj tshark.exe w następujący sposób.

>tshark -i - < "c:\filename.cap" > "c:\output.txt

Jeśli chcesz zapisać zdekodowaną formę pakietów do pliku, uruchom TShark bez opcji -w i przekieruj standardowe wyjście do pliku (nie używaj opcji -w).

mfinni
źródło
Plik-> Zapisz jako ma również wiele formatów.
David
@David - żaden z nich nie jest czytelny dla człowieka, wszystkie są przeznaczone do użytku z innymi analizatorami ruchu. „Eksportuj” to taki, który zapewnia przyjazne pliki tekstowe lub uporządkowane rzeczy, takie jak PS, CSV itp.
mfinni
przepraszam, zapomniałem wspomnieć. Chcę przekonwertować go za pomocą wiersza polecenia?
Vidya
OK, zredagowałem moją odpowiedź, aby uwzględnić opcje wiersza polecenia. @Davey, poniżej, również opublikował dobrą odpowiedź za pomocą dodatkowego narzędzia, które możesz mieć lub nie, tcpdump.
mfinni
7

Opcja -c tcpdump drukuje każdy pakiet w czytelnym dla człowieka ASCII i szczęśliwie radzi sobie z plikami wireshark i możesz to wszystko zrobić z wiersza poleceń:

tcpdump -A -r stackoverflow.cap > stackoverflow.txt

Dane wyjściowe wyglądają następująco:

9:22:33.664874 IP 192.168.1.11.33874 > stackoverflow.com.www: Flags [P.], seq 1117095075:1117095829, ack 3371415182, win 9648, options [nop,nop,TS val 9533909 ecr 313735664], length 754
E..&..@.@../....E;...R.PB.........%........
..y...9.GET / HTTP/1.1
Host: serverfault.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __qca=P0-141773580-1259521886021; __utmz=81883924.1275328201.133.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=hudson%20build%20dir; usr=t=kXSBoIG5Jk6S&s=wGmaIuhAD0eH; __utma=81883924.2034104685.1272993451.1276186265.1276193655.189; __utmc=81883924; __utmb=81883924.6.10.1276193655
If-Modified-Since: Thu, 10 Jun 2010 10:17:12 GMT
davey
źródło
Zakładając, że działa na Uniksie. Lub z uruchomionym WinDump lub innym klonem TCPDump systemu Windows. Ponieważ facet wspomniał o Wireshark, ograniczyłem moją odpowiedź do narzędzi zawartych w pakiecie Wireshark.
mfinni
2

Korzystam z tshark -x -r file.pcapwiersza poleceń, gdy dane wyjściowe podobne do zrzutu heksowego są dobre do przetwarzania końcowego.

nik
źródło
0

Nie jesteś w stanie otworzyć wireshark i otworzyć ten plik .cap, a następnie wyeksportować go z menu pliku jako plik tekstowy? Próbuję zapamiętać z czubka głowy, ale myślałem, że możesz ...

Bart Silverstrim
źródło
przepraszam, zapomniałem wspomnieć. Chcę przekonwertować go za pomocą wiersza polecenia?
Vidya
0

tshark -x -r "c: \ result.pcap"> "c: \ final.txt"

Otóż ​​to. :)

Jitendra
źródło