Wireshark yakalama dosyalarını metin dosyalarına nasıl dönüştürebilirim?


9

Wirshark yakalama (.cap) dosyalarını metin dosyalarına veya dosyayı okuyabildiğim ve içeriğini ayrıştırabileceğim bir biçime nasıl dönüştürebilirim?

Yanıtlar:


10

Wireshark'ı açın, .cap dosyanızı seçin ve ardından Dosya-> Dışa Aktar'a gidin ve istediğiniz seçenekleri belirleyin.

Bu nedenle, komut satırından yapmanız gerekirse, tshark.exe aracını aşağıdaki gibi kullanın.

>tshark -i - < "c:\filename.cap" > "c:\output.txt

Çözülmüş paket formunu bir dosyaya yazmak istiyorsanız, TShark'ı -w seçeneği olmadan çalıştırın ve standart çıktısını dosyaya yönlendirin (-w seçeneğini kullanmayın).


Dosya-> Farklı Kaydet'in de birçok biçimi vardır.
David

@David - bunların hiçbiri insan tarafından okunamaz, hepsi diğer trafik analizörleri ile kullanılmak içindir. "İhracat" PS, CSV, vb gibi size dost metin dosyaları veya yapılandırılmış şeyleri alır biridir
mfinni

bahsetmeyi unuttuğum için üzgünüm. Biraz komut satırı kullanarak dönüştürmek istiyorum?
Vidya

Tamam, cevabımı komut satırı seçeneklerini içerecek şekilde düzenledi. @Davey, ayrıca, tcpdump sahip olabileceğiniz veya edemeyeceğiniz ek bir araç kullanarak iyi bir yanıt gönderdi.
mfinni

7

Tcpdump'ın -A seçeneği, her paketi insan tarafından okunabilen ASCII'de yazdırır ve wireshark dosyalarıyla mutlu bir şekilde ilgilenir ve hepsini komut satırından yapabilirsiniz:

tcpdump -A -r stackoverflow.cap > stackoverflow.txt

Çıktı şöyle görünür:

9:22:33.664874 IP 192.168.1.11.33874 > stackoverflow.com.www: Flags [P.], seq 1117095075:1117095829, ack 3371415182, win 9648, options [nop,nop,TS val 9533909 ecr 313735664], length 754
E..&..@.@../....E;...R.PB.........%........
..y...9.GET / HTTP/1.1
Host: serverfault.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __qca=P0-141773580-1259521886021; __utmz=81883924.1275328201.133.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=hudson%20build%20dir; usr=t=kXSBoIG5Jk6S&s=wGmaIuhAD0eH; __utma=81883924.2034104685.1272993451.1276186265.1276193655.189; __utmc=81883924; __utmb=81883924.6.10.1276193655
If-Modified-Since: Thu, 10 Jun 2010 10:17:12 GMT

Unix üzerinde koştuğunu varsayarsak. Veya WinDump veya TCPDump'ın başka bir Windows klonunu çalıştırın. Adam Wireshark'tan bahsettiğinden beri cevabımı Wireshark paketindeki araçlarla sınırlandırdım.
mfinni

2

tshark -x -r file.pcapOnaltılık gibi çıktı sonrası işleme için iyi olduğunda komut satırını kullanın .


0

Wireshark'ı açıp bu .cap dosyasını açamıyor, sonra dosya menüsünden bir metin dosyası olarak dışa aktaramıyor musunuz? Kafamın tepesini hatırlamaya çalışıyorum ama yapabileceğini düşündüm ...


bahsetmeyi unuttuğum için üzgünüm. Biraz komut satırı kullanarak dönüştürmek istiyorum?
Vidya

0

tshark -x -r "c: \ sonuç.pcap"> "c: \ final.txt"

Bu kadar. :)

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.