Come faccio a convertire i file di acquisizione di WireShark in file di testo?

9

Come posso convertire i file di cattura di Wirshark (.cap) in file di testo o in qualche formato da cui posso leggere il file e analizzarne il contenuto?

Saluti, Mithun

command-line-interface  wireshark 
Vidya
fonte

Risposte:

10

Apri Wireshark, seleziona il tuo file .cap, quindi vai su File-> Esporta e scegli le opzioni che desideri.

Quindi, se è necessario farlo dalla riga di comando, utilizzare tshark.exe, come indicato di seguito.

>tshark -i - < "c:\filename.cap" > "c:\output.txt

Se si desidera scrivere la forma decodificata di pacchetti in un file, eseguire TShark senza l'opzione -w e reindirizzare l'output standard sul file (non utilizzare l'opzione -w).

mfinni
fonte
File-> Salva con nome ha anche numerosi formati.
David,
@David - nessuno di questi è leggibile dall'uomo, sono tutti pensati per l'uso con altri analizzatori di traffico. "Esporta" è quello che ti dà file di testo amichevoli o cose strutturate come PS, CSV, ecc.
mfinni,
scusami ho dimenticato di menzionare. Voglio convertirlo usando qualche riga di comando?
Vidya,
OK, ho modificato la mia risposta per includere le opzioni della riga di comando. @Davey, di seguito, ha anche pubblicato una buona risposta utilizzando uno strumento aggiuntivo che potresti avere o meno, tcpdump.
mfinni,
7

L'opzione -A di tcpdump stampa ogni pacchetto in ASCII leggibile dall'uomo e si occupa felicemente dei file WireShark e puoi fare tutto dalla riga di comando:

tcpdump -A -r stackoverflow.cap > stackoverflow.txt

L'output è simile a:

9:22:33.664874 IP 192.168.1.11.33874 > stackoverflow.com.www: Flags [P.], seq 1117095075:1117095829, ack 3371415182, win 9648, options [nop,nop,TS val 9533909 ecr 313735664], length 754
E..&..@.@../....E;...R.PB.........%........
..y...9.GET / HTTP/1.1
Host: serverfault.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __qca=P0-141773580-1259521886021; __utmz=81883924.1275328201.133.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=hudson%20build%20dir; usr=t=kXSBoIG5Jk6S&s=wGmaIuhAD0eH; __utma=81883924.2034104685.1272993451.1276186265.1276193655.189; __utmc=81883924; __utmb=81883924.6.10.1276193655
If-Modified-Since: Thu, 10 Jun 2010 10:17:12 GMT
davey
fonte
Supponendo che stia correndo su Unix. O eseguendo WinDump o altri cloni Windows di TCPDump. Da quando il ragazzo ha menzionato Wireshark, ho limitato la mia risposta agli strumenti inclusi nel pacchetto Wireshark.
mfinni,
2

Uso la tshark -x -r file.pcapriga di comando quando l'output di hexdump è buono per la post elaborazione.

nik
fonte
0

Non riesci ad aprire WireShark e aprire quel file .cap, quindi esportarlo dal menu File come file di testo? Sto cercando di ricordare dalla cima della mia testa ma pensavo che tu potessi ...

Bart Silverstrim
fonte
scusami ho dimenticato di menzionare. Voglio convertirlo usando qualche riga di comando?
Vidya,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.