Как преобразовать файлы захвата wireshark в текстовые файлы?

9

Как я могу преобразовать файлы захвата wirshark (.cap) в текстовые файлы или в какой-нибудь формат, из которого я могу прочитать файл и проанализировать его содержимое?

С уважением, Митхун

command-line-interface wireshark Видья
источник

Ответы:

10

Откройте Wireshark, выберите файл .cap, а затем перейдите в «Файл» -> «Экспорт» и выберите нужные параметры.

Итак, если вам нужно сделать это из командной строки, используйте tshark.exe, как показано ниже.

>tshark -i - < "c:\filename.cap" > "c:\output.txt

Если вы хотите записать декодированную форму пакетов в файл, запустите TShark без параметра -w и перенаправьте его стандартный вывод в файл (не используйте параметр -w).

mfinni
источник
Файл-> Сохранить как также имеет множество форматов.
Дэвид
@ Дэвид - ни один из них не читается человеком, все они предназначены для использования с другими анализаторами трафика. «Экспорт» - это тот, который дает вам дружественные текстовые файлы или структурированные вещи, такие как PS, CSV и т. Д.
mfinni
извините, я забыл упомянуть. Я хочу преобразовать его с помощью командной строки?
Видя
ОК, отредактировал мой ответ, включив параметры командной строки @Davey, ниже, также опубликовал хороший ответ, используя дополнительный инструмент, который вы можете иметь или не иметь, tcpdump.
mfinni
7

Параметр -A команды tcpdump печатает каждый пакет в удобочитаемом для человека формате ASCII и успешно работает с файлами wireshark, и вы можете делать все это из командной строки:

tcpdump -A -r stackoverflow.cap > stackoverflow.txt

Вывод выглядит так:

9:22:33.664874 IP 192.168.1.11.33874 > stackoverflow.com.www: Flags [P.], seq 1117095075:1117095829, ack 3371415182, win 9648, options [nop,nop,TS val 9533909 ecr 313735664], length 754
E..&..@.@../....E;...R.PB.........%........
..y...9.GET / HTTP/1.1
Host: serverfault.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __qca=P0-141773580-1259521886021; __utmz=81883924.1275328201.133.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=hudson%20build%20dir; usr=t=kXSBoIG5Jk6S&s=wGmaIuhAD0eH; __utma=81883924.2034104685.1272993451.1276186265.1276193655.189; __utmc=81883924; __utmb=81883924.6.10.1276193655
If-Modified-Since: Thu, 10 Jun 2010 10:17:12 GMT
Davey
источник
Предполагая, что он работает на Unix. Или работает WinDump или другой Windows-клон TCPDump. Поскольку парень упомянул Wireshark, я ограничил свой ответ инструментами, включенными в пакет Wireshark.
mfinni
2

Я использую tshark -x -r file.pcapкомандную строку, когда вывод в виде hexdump хорош для постобработки.

Nik
источник
0

Разве вы не можете открыть wireshark и открыть этот файл .cap, а затем экспортировать его из меню файлов в виде текстового файла? Пытаюсь вспомнить с макушки головы, но я думал, что ты мог ...

Барт Сильверстрим
источник
извините, я забыл упомянуть. Я хочу преобразовать его с помощью командной строки?
Видя