¿La mejor manera de analizar archivos pcap desde Wireshark?

Pregunta:

Tengo archivos pcap de 50-100 MB capturados de Wireshark y necesito analizar de dónde viene o va la mayor parte del tráfico.

¿Cuál es la mejor forma de hacer esto? Idealmente, me gustaría terminar con un archivo csv de Excel que muestre las 50 direcciones IP principales para poder ordenarlas y analizarlas.

Respuesta:

por dirección de origen

 tshark -T fields -e ip.src -r somefile.pcap

por dirección de destino

 tshark -T fields -e ip.dst -r somefile.pcap

canalizar cualquiera de esos a | ordenar | uniq -c | sort -n | cola -50

puede obtener los mejores pares src / dst con

tshark -T fields -e ip.src -e ip.dst -r somefile.pcap

Para obtener una lista de campos con los que puede trabajar

tshark -G fields

(advertencia, wirehark tiene una lista abrumadora de campos)

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım