Лучший способ проанализировать pcap файлы от Wireshark?
Предпочтительно Вы повторно упаковали бы установщик в пакете MSI, который делает удаление + установка тихо для Вас. Это может затем быть распределено с помощью простого Active Directory (или еще некоторый тяжелый комплект управления) без пользователей или Вас имеющий необходимость посетить или сделать что-либо клиентам или любому имеющему необходимость быть администратором.
Инструменты для упаковки MSI многочисленны, каждый - Усовершенствованный Установщик.
Веб-сайт Appdeploy может иметь дополнительную информацию о Вашем программном обеспечении, если нет никакой информации о развертывании предприятия, доступной от производителя/разработчика.
исходным адресом
tshark -T fields -e ip.src -r somefile.pcap
адресом dest
tshark -T fields -e ip.dst -r somefile.pcap
передайте любой по каналу из тех, которые к | вид | uniq-c | вид-n | хвост-50
можно получить вершину src/dst пары с
tshark -T fields -e ip.src -e ip.dst -r somefile.pcap
Для получения списка полей, можно работать с
tshark -G fields
(предупреждение, wireshark имеет подавляющий список полей),
Можно также использовать tshark статистику:
Вот некоторые примеры:
$ tshark -r http.pcap -q -z conv,eth -z conv,ip -z conv,tcp
TCP Conversations
Filter:
| | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
192.168.108.128:1047 64.186.152.93:80 9 7834 7 1358 16 9192
192.168.108.128:1048 64.186.152.93:80 4 1868 4 623 8 2491
================================================================================
================================================================================
IPv4 Conversations
Filter:
| | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
192.168.108.128 64.186.152.93 13 9702 11 1981 24 11683
192.168.108.128 192.168.108.2 1 202 1 73 2 275
================================================================================
================================================================================
Ethernet Conversations
Filter:
| | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
00:0c:29:61:82:89 00:50:56:ee:98:59 14 9904 13 2096 27 12000
00:50:56:ee:98:59 ff:ff:ff:ff:ff:ff 0 0 1 60 1 60
================================================================================
$ tshark -r http.pcap -q -z conv,eth,eth.addr==00:0c:29:61:82:89 -z conv,ip,ip.addr==192.168.108.2 -z conv,tcp,ip.addr==64.186.152.93
================================================================================
TCP Conversations
Filter:ip.addr==64.186.152.93
| | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
192.168.108.128:1047 64.186.152.93:80 9 7834 7 1358 16 9192
192.168.108.128:1048 64.186.152.93:80 4 1868 4 623 8 2491
================================================================================
================================================================================
IPv4 Conversations
Filter:ip.addr==192.168.108.2
| | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
192.168.108.128 192.168.108.2 1 202 1 73 2 275
================================================================================
================================================================================
Ethernet Conversations
Filter:eth.addr==00:0c:29:61:82:89
| | | Total |
| Frames Bytes | | Frames Bytes | | Frames Bytes |
00:0c:29:61:82:89 00:50:56:ee:98:59 14 9904 13 2096 27 12000
================================================================================