Вопросы Теги

Целое число соединений в pcap файле

Какой инструмент может, я раньше получал количество количества соединений TCP и соединений UDP в pcap файле?

2
задан 2 August 2014 в 01:53
2 ответа

Для TCP-соединений можно получить довольно хорошее приближение, считая пакеты SYN-ACK.

tcpdump -nr trace.pcap 'tcp[tcpflags] & (tcp-syn|tcp-ack) = (tcp-syn|tcp-ack)' | wc -l

Для UDP нет такого понятия, как соединение, поэтому сначала нужно определить, что считать. Вы можете посчитать, сколько различных пар исходников и получателей присутствует в файле. Эта команда будет считать пакеты в каждом направлении отдельно, так что если каждое "соединение" посылает пакеты в обоих направлениях, вам придется разделить на два.

tcpdump -nr trace.pcap 'udp' | cut -f2-5 -d' ' | sort -u | wc -l

Если вы предпочитаете инструмент, основанный на GUI, Wireshark может анализировать TCP соединения. Он присваивает номер каждому TCP-соединению, которое находит в файле, так что вы можете просто прокрутить его в нижнюю часть файла и посмотреть, какой номер был присвоен последнему соединению. (Возможно, вам придется проверить несколько соединений, если они накладываются друг на друга и какое-то другое соединение продолжается после последнего пакета с самым высоким номером)

.
1
ответ дан 3 December 2019 в 10:04

Wireshark может сделать это через Statistics→Conversations. TShark может это сделать через -q -z conv,tcp -r /path/to/capture.pcap и -q -z conv,udp -r /path/to/capture.pcap. Ntop также должен уметь это делать.

.
3
ответ дан 3 December 2019 в 10:04

Теги

Похожие вопросы