ฉันจะแปลงไฟล์จับภาพ wireshark เป็นไฟล์ข้อความได้อย่างไร

9

ฉันจะแปลงไฟล์ wirshark captures (.cap) เป็นไฟล์ข้อความหรือบางรูปแบบที่ฉันสามารถอ่านไฟล์และแยกเนื้อหาได้อย่างไร

command-line-interface  wireshark 
Vidya
แหล่งที่มา

คำตอบ:

10

เปิด Wireshark เลือกไฟล์. cap ของคุณจากนั้นไปที่ File-> Export และเลือกตัวเลือกที่คุณต้องการ

ดังนั้นหากคุณต้องการทำจากบรรทัดคำสั่งให้ใช้ tshark.exe ดังต่อไปนี้

>tshark -i - < "c:\filename.cap" > "c:\output.txt

หากคุณต้องการเขียนรูปแบบการถอดรหัสของแพ็กเก็ตไปยังไฟล์ให้รัน TShark โดยไม่มีตัวเลือก -w และเปลี่ยนเส้นทางเอาต์พุตมาตรฐานไปยังไฟล์ (ห้ามใช้ตัวเลือก -w)

mfinni
แหล่งที่มา
ไฟล์ -> บันทึกเป็นยังมีรูปแบบมากมาย
David
@ David - ไม่มีสิ่งใดที่มนุษย์สามารถอ่านได้พวกมันทั้งหมดมีไว้สำหรับใช้กับเครื่องมือวิเคราะห์การจราจรอื่น ๆ "ส่งออก" เป็นสิ่งที่ทำให้คุณได้รับไฟล์ข้อความที่เป็นมิตรหรือสิ่งต่าง ๆ ที่มีโครงสร้างเช่น PS, CSV และอื่น ๆ
mfinni
ขอโทษฉันลืมพูดถึง ฉันต้องการแปลงโดยใช้บรรทัดคำสั่งหรือไม่
Vidya
ตกลงแก้ไขคำตอบของฉันเพื่อรวมตัวเลือกบรรทัดคำสั่ง @Davey ด้านล่างโพสต์คำตอบที่ดีโดยใช้เครื่องมือเพิ่มเติมที่คุณอาจจะหรืออาจจะไม่มี tcpdump
mfinni
7

ตัวเลือก -A ของ tcpdump พิมพ์แต่ละแพ็คเก็ตใน ASCII ที่มนุษย์สามารถอ่านได้และจัดการกับไฟล์ wireshark อย่างมีความสุขและคุณสามารถทำได้ทั้งหมดจากบรรทัดคำสั่ง:

tcpdump -A -r stackoverflow.cap > stackoverflow.txt

ผลลัพธ์ดูเหมือนว่า:

9:22:33.664874 IP 192.168.1.11.33874 > stackoverflow.com.www: Flags [P.], seq 1117095075:1117095829, ack 3371415182, win 9648, options [nop,nop,TS val 9533909 ecr 313735664], length 754
E..&..@.@../....E;...R.PB.........%........
..y...9.GET / HTTP/1.1
Host: serverfault.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __qca=P0-141773580-1259521886021; __utmz=81883924.1275328201.133.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=hudson%20build%20dir; usr=t=kXSBoIG5Jk6S&s=wGmaIuhAD0eH; __utma=81883924.2034104685.1272993451.1276186265.1276193655.189; __utmc=81883924; __utmb=81883924.6.10.1276193655
If-Modified-Since: Thu, 10 Jun 2010 10:17:12 GMT
ดาวี่
แหล่งที่มา
สมมติว่าเขาทำงานบน Unix หรือเรียกใช้ WinDump หรือ Windows clone อื่น ๆ ของ TCPDump ตั้งแต่ผู้ชายพูดถึง Wireshark ฉัน จำกัด คำตอบของฉันสำหรับเครื่องมือที่รวมอยู่ในแพ็คเกจ Wireshark
mfinni
2

ฉันใช้tshark -x -r file.pcapบรรทัดคำสั่งเมื่อ hexdump เช่นเอาต์พุตดีต่อการประมวลผลภายหลัง

nik
แหล่งที่มา
0

คุณไม่สามารถเปิด wireshark และเปิดไฟล์. cap นั้นแล้วส่งออกจากเมนูไฟล์เป็นไฟล์ข้อความได้หรือไม่ กำลังพยายามจำส่วนบนสุดของหัวของฉัน แต่ฉันคิดว่าคุณทำได้ ...

Bart Silverstrim
แหล่งที่มา
ขอโทษฉันลืมพูดถึง ฉันต้องการแปลงโดยใช้บรรทัดคำสั่งหรือไม่
Vidya
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.