Вопросы Теги

Как я могу считать pcap файлы в дружественном формате?

Разногласия являются Вашими бизнес-сотрудниками, собираются ожидать Microsoft Office. Если можно найти, что место для Linux соответствует, пойдите для него, используйте то, что имеет большую часть смысла к бизнесу.

Я предложил бы для бизнес-сети, просто выбрав Вашего производителя оборудования или в качестве Dell или в качестве HP, найти хорошего представителя и сделать, чтобы они помогли Вам создать свою инфраструктуру.

Возможно, взгляд на различных поставщиков как Juniper/Cisco/Контрольная точка/Цепочка для часов, когда Вы начинаете нуждаться в брандмауэрах или удаленном доступе, но для Вашей LAN Вы действительно не будете видеть огромного преимущества, когда Вы будете маленькими.

139
задан 4 August 2009 в 01:09
6 ответов

Wireshark является, вероятно, лучшим, но если Вы хотите/нуждаетесь посмотреть на полезную нагрузку, не загружая GUI, можно использовать-X или-A опции

tcpdump-qns 0-X-r serverfault_request.pcap

14:28:33.800865 IP 10.2.4.243.41997 > 69.59.196.212.80: tcp 1097
        0x0000:  4500 047d b9c4 4000 4006 63b2 0a02 04f3  E..}..@.@.c.....
        0x0010:  453b c4d4 a40d 0050 f0d4 4747 f847 3ad5  E;.....P..GG.G:.
        0x0020:  8018 f8e0 1d74 0000 0101 080a 0425 4e6d  .....t.......%Nm
        0x0030:  0382 68a1 4745 5420 2f71 7565 7374 696f  ..h.GET./questio
        0x0040:  6e73 2048 5454 502f 312e 310d 0a48 6f73  ns.HTTP/1.1..Hos
        0x0050:  743a 2073 6572 7665 7266 6175 6c74 2e63  t:.serverfault.c
        0x0060:  6f6d 0d0a 5573 6572 2d41 6765 6e74 3a20  om..User-Agent:.
        0x0070:  4d6f 7a69 6c6c 612f 352e 3020 2858 3131  Mozilla/5.0.(X11
        0x0080:  3b20 553b 204c 696e 7578 2069 3638 363b  ;.U;.Linux.i686;

tcpdump-qns 0 А-r serverfault_request.pcap

14:29:33.256929 IP 10.2.4.243.41997 > 69.59.196.212.80: tcp 1097
E..}..@.@.c.
...E;...^M.P..^w.G.......t.....
.%.}..l.GET /questions HTTP/1.1
Host: serverfault.com

Существует много других инструментов для чтения и получения статистики, извлекая полезные нагрузки и так далее. Беглый взгляд на количестве вещей, которые зависят от libpcap в debian хранилище пакетов, дает список 50 + инструменты, которые могут использоваться для разрезания, поставить на карту, просмотреть, и управлять получениями различными способами.

Например.

130
ответ дан 28 November 2019 в 19:17
  • 1
    Upvoted. Это может сделать для грязного чтения, но полезный для тех сценариев в поле. Который напоминает мне - ngrep! –  Dan Carley 10 July 2009 в 00:52
  • 2
    tcpdump управляет, чтобы Вы дали, лучше, но я действительно все еще не получаю то, что я хочу. я обновил свой вопрос отразить это. wireshark установка didn' t работают и я don' t хотят установить его, если я не имею к. спасибо за Вашу справку до сих пор и сообщает мне, есть ли у Вас какие-либо другие предложения. –  Tony 10 July 2009 в 02:12
  • 3
    хорошо, эта команда, казалось, сделала это с tcpick., это, вероятно, принесет пользу другим это, Вы добавили его к своему ответу " tcpick-C-yP-r tcp_dump.pcap" –  Tony 10 July 2009 в 02:20
  • 4
    providercorga - Вы могли добавить его к своему ответу вместо кого-то еще идущего в усилие, и Вы могли бы заработать очки также. просто sayin'. –  Cawflands 10 July 2009 в 14:00
  • 5
    хорошо, il делают это. просто требуемый, чтобы попытаться дать кредит Zoredache, так как он дал большой ответ –  Tony 4 August 2009 в 01:08

Wireshark.

Вы никогда не можете оглядываться назад :)

Случайно необходимо удостовериться, что snaplen исходного получения соответствует или превышает MTU трафика, который Вы получаете. Иначе содержание будет казаться усеченным.

30
ответ дан 28 November 2019 в 19:17
  • 1
    Также можно хотеть использовать-w, чтобы сделать разгрузку двоичных данных и-s 200 для удлинения пакетного снимка (при рассмотрении сервера имен или пакетов nfs). –  Adam Brand 10 July 2009 в 00:32

Можно использовать wireshark, который является gui приложением, или можно использовать tshark, который является, это - cli дубликат.

Кроме того, можно визуализировать pcap использование нескольких инструментов визуализации:

  • tnv - Сетевой Visualizer или Основанный на времени Сетевой Visualizer
  • послесвечение - набор сценариев, которые упрощают процесс генерации графиков
  • INAV - Интерактивная сетевая визуализация активного трафика

Если Вы хотите проанализировать pcap файл, можно использовать превосходную nsm-консоль.

Наконец, что не менее важно, можно загрузить pcap на pcapr.net и наблюдать его там. pcapr.net является своего рода социальным веб-сайтом, чтобы проанализировать и прокомментировать для торговли получений.

22
ответ дан 28 November 2019 в 19:17

tshark -r file.pcap -V очень полезно, если Вы застреваете без wireshark/gui.

21
ответ дан 28 November 2019 в 19:17

Можно просто загрузить pcap файлы в Wireshark для просмотра их.

4
ответ дан 28 November 2019 в 19:17

You can directly view/capture the remote packets to wireshark using tcpdump.

Remote packet capture using WireShark & tcpdump

How to Use tcpdump to capture in a pcap file (wireshark dump)

2
ответ дан 28 November 2019 в 19:17

Теги

Похожие вопросы