ฉันจะอ่านไฟล์ pcap ในรูปแบบที่เป็นมิตรได้อย่างไร


139

แมวที่เรียบง่ายในไฟล์ pcap ดูน่ากลัว:

$cat tcp_dump.pcap

?ò????YVJ?
          JJ
            ?@@.?E<??@@
?CA??qe?U????иh?
.Ceh?YVJ??
          JJ
            ?@@.?E<??@@
CA??qe?U????еz?
.ChV?YVJ$?JJ
            ?@@.?E<-/@@A?CAͼ?9????F???A&?
.Ck??YVJgeJJ@@.?Ӣ#3E<@3{nͼ?9CA??P?ɝ?F???<K?
?ԛ`.Ck??YVJgeBB
               ?@@.?E4-0@@AFCAͼ?9????F?P?ʀ???
.Ck??ԛ`?YVJ?""@@.?Ӣ#3E?L@3?Iͼ?9CA??P?ʝ?F?????
?ԛ?.Ck?220-rly-da03.mx

เป็นต้น

ฉันพยายามทำให้ดีขึ้นด้วย:

sudo tcpdump -ttttnnr tcp_dump.pcap
reading from file tcp_dump.pcap, link-type EN10MB (Ethernet)
2009-07-09 20:57:40.819734 IP 67.23.28.65.49237 > 216.239.113.101.25: S 2535121895:2535121895(0) win 5840 <mss 1460,sackOK,timestamp 776168808 0,nop,wscale 5>
2009-07-09 20:57:43.819905 IP 67.23.28.65.49237 > 216.239.113.101.25: S 2535121895:2535121895(0) win 5840 <mss 1460,sackOK,timestamp 776169558 0,nop,wscale 5>
2009-07-09 20:57:47.248100 IP 67.23.28.65.42385 > 205.188.159.57.25: S 2644526720:2644526720(0) win 5840 <mss 1460,sackOK,timestamp 776170415 0,nop,wscale 5>
2009-07-09 20:57:47.288103 IP 205.188.159.57.25 > 67.23.28.65.42385: S 1358829769:1358829769(0) ack 2644526721 win 5792 <mss 1460,sackOK,timestamp 4292123488 776170415,nop,wscale 2>
2009-07-09 20:57:47.288103 IP 67.23.28.65.42385 > 205.188.159.57.25: . ack 1 win 183 <nop,nop,timestamp 776170425 4292123488>
2009-07-09 20:57:47.368107 IP 205.188.159.57.25 > 67.23.28.65.42385: P 1:481(480) ack 1 win 1448 <nop,nop,timestamp 4292123568 776170425>
2009-07-09 20:57:47.368107 IP 67.23.28.65.42385 > 205.188.159.57.25: . ack 481 win 216 <nop,nop,timestamp 776170445 4292123568>
2009-07-09 20:57:47.368107 IP 67.23.28.65.42385 > 205.188.159.57.25: P 1:18(17) ack 481 win 216 <nop,nop,timestamp 776170445 4292123568>
2009-07-09 20:57:47.404109 IP 205.188.159.57.25 > 67.23.28.65.42385: . ack 18 win 1448 <nop,nop,timestamp 4292123606 776170445>
2009-07-09 20:57:47.404109 IP 205.188.159.57.25 > 67.23.28.65.42385: P 481:536(55) ack 18 win 1448 <nop,nop,timestamp 4292123606 776170445>
2009-07-09 20:57:47.404109 IP 67.23.28.65.42385 > 205.188.159.57.25: P 18:44(26) ack 536 win 216 <nop,nop,timestamp 776170454 4292123606>
2009-07-09 20:57:47.444112 IP 205.188.159.57.25 > 67.23.28.65.42385: P 536:581(45) ack 44 win 1448 <nop,nop,timestamp 4292123644 776170454>
2009-07-09 20:57:47.484114 IP 67.23.28.65.42385 > 205.188.159.57.25: . ack 581 win 216 <nop,nop,timestamp 776170474 4292123644>
2009-07-09 20:57:47.616121 IP 67.23.28.65.42385 > 205.188.159.57.25: P 44:50(6) ack 581 win 216 <nop,nop,timestamp 776170507 4292123644>
2009-07-09 20:57:47.652123 IP 205.188.159.57.25 > 67.23.28.65.42385: P 581:589(8) ack 50 win 1448 <nop,nop,timestamp 4292123855 776170507>
2009-07-09 20:57:47.652123 IP 67.23.28.65.42385 > 205.188.159.57.25: . ack 589 win 216 <nop,nop,timestamp 776170516 4292123855>
2009-07-09 20:57:47.652123 IP 67.23.28.65.42385 > 205.188.159.57.25: P 50:56(6) ack 589 win 216 <nop,nop,timestamp 776170516 4292123855>
2009-07-09 20:57:47.652123 IP 67.23.28.65.42385 > 205.188.159.57.25: F 56:56(0) ack 589 win 216 <nop,nop,timestamp 776170516 4292123855>
2009-07-09 20:57:47.668124 IP 67.23.28.65.49239 > 216.239.113.101.25: S 2642380481:2642380481(0) win 5840 <mss 1460,sackOK,timestamp 776170520 0,nop,wscale 5>
2009-07-09 20:57:47.692126 IP 205.188.159.57.25 > 67.23.28.65.42385: P 589:618(29) ack 57 win 1448 <nop,nop,timestamp 4292123893 776170516>
2009-07-09 20:57:47.692126 IP 67.23.28.65.42385 > 205.188.159.57.25: R 2644526777:2644526777(0) win 0
2009-07-09 20:57:47.692126 IP 205.188.159.57.25 > 67.23.28.65.42385: F 618:618(0) ack 57 win 1448 <nop,nop,timestamp 4292123893 776170516>
2009-07-09 20:57:47.692126 IP 67.23.28.65.42385 > 205.188.159.57.25: R 2644526777:2644526777(0) win 0

อืม ... มันสวยกว่ามาก แต่มันไม่แสดงข้อความจริง ฉันสามารถดึงข้อมูลเพิ่มเติมได้เพียงแค่ดูไฟล์ RAW อะไรคือวิธีที่ดีที่สุด (และง่ายที่สุด) ในการดูเนื้อหาทั้งหมดของไฟล์ pcap

UPDATE

ขอบคุณคำตอบด้านล่างฉันทำให้ความคืบหน้า นี่คือสิ่งที่ดูเหมือนตอนนี้:

tcpdump -qns 0 -A -r blah.pcap
    20:57:47.368107 IP 205.188.159.57.25 > 67.23.28.65.42385: tcp 480
        0x0000:  4500 0214 834c 4000 3306 f649 cdbc 9f39  E....L@.3..I...9
        0x0010:  4317 1c41 0019 a591 50fe 18ca 9da0 4681  C..A....P.....F.
        0x0020:  8018 05a8 848f 0000 0101 080a ffd4 9bb0  ................
        0x0030:  2e43 6bb9 3232 302d 726c 792d 6461 3033  .Ck.220-rly-da03
        0x0040:  2e6d 782e 616f 6c2e 636f 6d20 4553 4d54  .mx.aol.com.ESMT
        0x0050:  5020 6d61 696c 5f72 656c 6179 5f69 6e2d  P.mail_relay_in-
        0x0060:  6461 3033 2e34 3b20 5468 752c 2030 3920  da03.4;.Thu,.09.
        0x0070:  4a75 6c20 3230 3039 2031 363a 3537 3a34  Jul.2009.16:57:4
        0x0080:  3720 2d30 3430 300d 0a32 3230 2d41 6d65  7.-0400..220-Ame
        0x0090:  7269 6361 204f 6e6c 696e 6520 2841 4f4c  rica.Online.(AOL
        0x00a0:  2920 616e 6420 6974 7320 6166 6669 6c69  ).and.its.affili
        0x00b0:  6174 6564 2063 6f6d 7061 6e69 6573 2064  ated.companies.d

เป็นต้น

สิ่งนี้ดูดี แต่มันยังทำให้ข้อความจริงที่ถูกต้องอ่านยาก มีวิธีดูข้อความเหล่านั้นในลักษณะที่เป็นมิตรมากขึ้นหรือไม่?

UPDATE

นี่ทำให้มันสวย:

tcpick -C -yP -r tcp_dump.pcap

ขอบคุณ!


ฉันสามารถดึงอีเมลที่อ่านได้จากข้อมูล pcap โดยใช้ 'strings'
Yaakov Kuperman

คำตอบ:


131

Wireshark น่าจะดีที่สุด แต่ถ้าคุณต้องการ / ต้องการดู payload โดยไม่โหลด GUI คุณสามารถใช้ตัวเลือก -X หรือ -A

tcpdump -qns 0 -X -r serverfault_request.pcap

14:28:33.800865 IP 10.2.4.243.41997 > 69.59.196.212.80: tcp 1097
        0x0000:  4500 047d b9c4 4000 4006 63b2 0a02 04f3  E..}..@.@.c.....
        0x0010:  453b c4d4 a40d 0050 f0d4 4747 f847 3ad5  E;.....P..GG.G:.
        0x0020:  8018 f8e0 1d74 0000 0101 080a 0425 4e6d  .....t.......%Nm
        0x0030:  0382 68a1 4745 5420 2f71 7565 7374 696f  ..h.GET./questio
        0x0040:  6e73 2048 5454 502f 312e 310d 0a48 6f73  ns.HTTP/1.1..Hos
        0x0050:  743a 2073 6572 7665 7266 6175 6c74 2e63  t:.serverfault.c
        0x0060:  6f6d 0d0a 5573 6572 2d41 6765 6e74 3a20  om..User-Agent:.
        0x0070:  4d6f 7a69 6c6c 612f 352e 3020 2858 3131  Mozilla/5.0.(X11
        0x0080:  3b20 553b 204c 696e 7578 2069 3638 363b  ;.U;.Linux.i686;

tcpdump -qns 0 -A -r serverfault_request.pcap

14:29:33.256929 IP 10.2.4.243.41997 > 69.59.196.212.80: tcp 1097
E..}..@.@.c.
...E;...^M.P..^w.G.......t.....
.%.}..l.GET /questions HTTP/1.1
Host: serverfault.com

มีเครื่องมืออื่น ๆ อีกมากมายสำหรับการอ่านและรับสถิติการแยกเพย์โหลดและอื่น ๆ การดูอย่างรวดเร็วเกี่ยวกับจำนวนของสิ่งต่าง ๆ ที่ขึ้นอยู่กับ libpcap ในที่เก็บแพคเกจเดเบียนจะแสดงรายการเครื่องมือ 50+ ที่สามารถใช้เพื่อเชือดลูกเต๋าดูและจัดการจับในรูปแบบต่าง ๆ

ตัวอย่างเช่น.


4
upvoted มันสามารถทำให้อ่านยุ่งเหยิง แต่มีประโยชน์สำหรับสถานการณ์ในเขตข้อมูลเหล่านั้น สิ่งที่ทำให้ฉันนึกถึง!
Dan Carley

คำสั่ง tcpdump ที่คุณให้นั้นดีกว่า แต่ฉันก็ยังไม่ได้สิ่งที่ฉันต้องการ ฉันอัปเดตคำถามของฉันเพื่อสะท้อนว่า การติดตั้ง wireshark ไม่ทำงานและฉันไม่ต้องการติดตั้งเว้นแต่ฉันต้องทำ ขอบคุณสำหรับความช่วยเหลือจนถึงตอนนี้และแจ้งให้เราทราบหากคุณมีข้อเสนอแนะอื่น ๆ
Tony

3
ตกลงคำสั่งนี้ดูเหมือนว่าจะทำกับ tcpick มันอาจจะเป็นประโยชน์ต่อคนอื่น ๆ ที่คุณเพิ่มลงในคำตอบของคุณ "tcpick -C -yP -r tcp_dump.pcap"
Tony

2
providercorga - คุณสามารถเพิ่มคำตอบของคุณแทนที่จะเป็นคนอื่นที่พยายามและคุณอาจได้รับคะแนนด้วย เพียงแค่พูดว่า
Cawflands

ตกลงฉันทำอย่างนั้น แค่อยากจะลองและให้เครดิต Zoredache ตั้งแต่เขาให้คำตอบที่ดี
โทนี่

29

Wireshark

คุณไม่อาจมองย้อนกลับไป :)

คุณควรตรวจสอบให้แน่ใจว่า snaplen ของการจับภาพดั้งเดิมของคุณตรงหรือเกินกว่า MTU ของการรับส่งข้อมูลที่คุณกำลังจับภาพ มิฉะนั้นเนื้อหาจะถูกตัดทอน


นอกจากนี้คุณอาจต้องการใช้ -w เพื่อทำไบนารีดัมพ์และ -s 200 เพื่อยืดสแนปชอตแพ็กเก็ตให้ยาวขึ้น (หากคุณกำลังดูที่เนมเซิร์ฟเวอร์หรือแพ็กเก็ต nfs)
Adam Brand

Wireshark ยอดเยี่ยม - แต่ไม่เหมาะเมื่อทำงานกับทรัพยากรที่ จำกัด บน VM
ผู้ใช้

22

คุณสามารถใช้wiresharkซึ่งเป็นแอพ gui หรือคุณสามารถใช้tsharkซึ่งเป็นของ cli

นอกจากนี้คุณสามารถเห็นภาพ pcap โดยใช้เครื่องมือสร้างภาพหลายแบบ:

  • tnv - Network Visualizer หรือ Network Visualizer ตามเวลา
  • afterglow - ชุดของสคริปต์ที่อำนวยความสะดวกในกระบวนการสร้างกราฟ
  • INAV - การสร้างภาพข้อมูลที่แอคทีฟของเครือข่ายแบบโต้ตอบ

หากคุณต้องการวิเคราะห์ไฟล์ pcap ที่คุณสามารถใช้ excelent NSM คอนโซล

สุดท้าย แต่ไม่ท้ายสุดคุณสามารถอัปโหลด pcap ของคุณไปยัง pcapr.net และดูได้ที่นี่ pcapr.net เป็นเว็บไซต์โซเชียลประเภทหนึ่งที่ใช้วิเคราะห์และแสดงความคิดเห็นเกี่ยวกับปริมาณข้อมูลที่จับได้




โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.