标签: pcap

我想将一些PCAP跟踪转换为Netflow格式,以便使用netflow工具进行进一步分析.有没有办法做到这一点？

具体来说,我想使用"flow-export"工具,以便从netflow跟踪中提取一些感兴趣的字段,如下所示:

$ flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS < mynetflow.trace

在这种情况下,通过使用以下命令转换PCAP文件来获取mynetflow.trace文件:

$ nfcapd -p 12345 -l ./ 

$ softflowd -n localhost:12345 -r mytrace.pcap

这会生成一个netflow跟踪,但流量导出无法正确使用,因为它的格式不正确.我还尝试将以下命令的输出传递给flow-export,如下所示:

$ flow-import -V1 -z0 -f0 <mynetflow.trace | flow-export -f2 -mUNIX_SECS,SYSUPTIME,DPKTS,DOCTETS

但是第一个命令的输出生成了零时间戳.

有任何想法吗？

我有一个python脚本使用dpkt捕获以太网上的数据包,但我如何区分哪些数据包是tcp和哪些数据包是udp.

最终,我希望在该时间间隔内建立每个tcp连接的数据包列表.

我的代码是:

import dpkt
import pcapy
cap=pcap.open_live('eth0',100000,1,0)
(header,payload)=cap.next()
while header:
    eth=dpkt.ethernet.Ethernet(str(payload))
    ip=eth.data
    tcp=ip.data 
    # i need to know whether it is a tcp or  a udp packet here!!!
    (header,payload)=cap.next()

给定一个pcap文件,我可以使用Wireshark提供的整洁过滤器从重建的HTTP请求和响应中提取大量信息.我也能够将pcap文件拆分成每个TCP流.

麻烦我现在遇到的是我可以使用的所有酷过滤器tshark,我找不到一个可以让我打印出完整的请求/响应机构.我打电话的是这样的:

 tshark -r dump.pcap -R "tcp.stream==123 and http.request" -T fields -e http.request.uri

我可以传递一些过滤器名称-e来获取请求/响应正文吗？我最接近的是使用-V旗帜,但它也打印出一堆我不需要的信息,并且希望避免使用"哑"过滤器.

实际上,我有两个相关的问题.

我在Debian上通过libpcap捕获过滤后的网络流量.然后我需要在Win2k3服务器上重放此流量.有时我捕获TCP和UDP的数据包,远远大于1500字节(以太网的默认MTU大小).例如,2000多个字节.我没有对Linux上的MTU大小进行任何具体更改.问题#1:

这些数据包远大于默认MTU的原因是什么？ 巨型帧？这篇维基百科的文章指出"能够使用巨型帧的网络接口卡需要显式配置才能使用巨型帧",但我不知道任何这样的配置.还ifconfig告诉我"MTU:1500".可以将其与"中断结合"技术(或"中断合并"在以某种方式相关文章)？我能压抑这样的包裹吗？

那么,问题#2:

如何pcap_sendpacket在Windows上发送此类数据包？我收到错误消息"发送错误:PacketSendPacket失败"仅适用于大于1500字节的数据包.似乎我不能使用巨型帧因为我将数据发送到直接连接的自定义"net tap",如pci卡,我不确定我可以配置它的NIC.还有什么？我应该根据协议规则对这些数据包进行分段吗？

编辑:

由Guy Harris建议,由NIC检查碎片:

~# ethtool -k eth0
Offload parameters for eth0:
rx-checksumming: on
tx-checksumming: on
scatter-gather: on
tcp-segmentation-offload: off
udp-fragmentation-offload: off
generic-segmentation-offload: off
generic-receive-offload: off
large-receive-offload: off
ntuple-filters: off
receive-hashing: off

同样的- eth1和br0- 我之间的网络桥梁eth0和eth1我正在嗅探.

我仍然收到大量的UDP数据包.

我正在使用JAVA转换从wireshark获取的PCAP文件,而不使用本机或现成的库.

我直接将字节转换为字符串只是为了检查它的有意义部分.

然后我试图将它从十六进制转换为字符串.这没有意义.

有一个java库jNetPcap,它包含了用c编写的所有libpcap库本机调用.

以下图片是无线网络捕获的.所以pcap包含相同的信息:源IP,目标IP,协议,长度和信息

我试图从包含十六进制或二进制数据的pcap文件中获得相同的结果:

d4c3 b2a1 0200 0400 0000 0000 0000 0000
0000 0400 0100 0000 2fd4 b355 2af8 0600
3600 0000 3600 0000 0100 5e00 0016 f409
d8ed d951 0800 46c0 0028 0000 4000 0102
4049 c0a8 0308 e000 0016 9404 0000 2200
fa02 0000 0001 0300 0000 e000 00fb 2fd4

最后我想要输出像这样的东西:

任何线索或建议从哪里获取数据包和文件格式可以帮助我很多.可能还有其他人已经遇到过这个问题？

谢谢

我正在尝试自动化一个重复的手动过程,我使用WireShark:

1)加载给定的pcap文件

2)为给定的协议应用简单的过滤器

3)使用导出对话框将显示的数据包导出到CSV文件

4)使用导出对话框以XML PDML格式导出显示的数据包.

这是繁琐的,并且需要人员参与主要是自动化的过程(包括分析文件以生成报告).

有没有办法自动化Wireshark,或以某种方式访问​​用于导出的底层库？

更新:正如这里的几个人所说,TShark原来是要走的路.我最终使用的确切命令行是:

tshark -r MyDataFile.pcap -T pdml -R MyProtocol > MyOutputFile.xml\

然后我使用基于事件的XML解析器(Python的expat)来解析生成的2GB文件

嗨,我正在开发应用程序,我必须从网络上读取实时数据包.并以复杂的方式展示它.

但问题是我有数据包但它是在文本文件中,所以要通过Wireshark打开它我必须转换为.pcap格式.

那么如何将文本中的数据包转换为pcap格式呢？

我的文本文件格式如下所示,

Frame:
Frame:          number = 0
Frame:       timestamp = 2014-02-13 09:39:11.288
Frame:     wire length = 174 bytes
Frame: captured length = 174 bytes
Frame:
Eth:  ******* Ethernet - "Ethernet" - offset=0 (0x0) length=14 
Eth: 
Eth:      destination = 01:00:5e:7f:ff:fa
Eth:                    .... ..0. .... .... = [0] LG bit
Eth:                    .... ...0 .... .... = [0] IG bit
Eth:           source = ec:9a:74:4d:8e:03
Eth:                    .... ..0. .... .... = [0] LG bit …

我正在使用libpcap作为lib来编写一个C程序来赶上即将来临的IP。我的代码段如下：

struct bpf_program filter;
pcap_compile(pcap_handle, &filter, "icmp[icmptype]=0 and '(dst 16.11.26.100 or dst 16.11.27.100)'", 1, 0);
pcap_setfilter(pcap_handle, &filter);

但这没有用，我仍然可以看到其他目标Ips，而不仅仅是上述两个Ips。

我正在使用rdpcapScapy的功能来读取PCAP文件.我还使用Scapy中HTTP支持链接中描述的模块,这在我的情况下是必需的,因为我必须检索所有HTTP请求和响应及其相关数据包.

我注意到解析一个大的PCAP文件该rdpcap函数需要花费太多时间来读取它.

有pcap更快的读取文件的解决方案吗？

我尝试pcapy使用安装pip install pcapy，但遇到错误，指出该文件pcap.h不存在，如下所示：

Installing collected packages: pcapy
  Running setup.py install for pcapy ... error
    Complete output from command c:\python27\python.exe -u -c "import setuptools
tokenize;__file__='c:\\users\\username\\appdata\\local\\temp\\pip-install-1tyk
yr\\pcapy\\setup.py';f=getattr(tokenize, 'open', open)(__file__);code=f.read().replace('\r\n', '\n');f.close();exec(compile(code, __file__, 'exec'))" 
install --
record c:\users\username\appdata\local\temp\pip-record-u_q6qm\install-record.txt
 --single-version-externally-managed --compile:
    running install
    running build
    running build_ext
    building 'pcapy' extension
    creating build
    creating build\temp.win-amd64-2.7
    creating build\temp.win-amd64-2.7\Release
    creating build\temp.win-amd64-2.7\Release\win32
    C:\Users\UserName\AppData\Local\Programs\Common\Microsoft\Visual C++ for
Python\9.0\VC\Bin\amd64\cl.exe /c /nologo /Ox /MD /W3 /GS- /DNDEBUG -DWIN32=1 -I
c:\wpdpack\Include -Ic:\python27\include -Ic:\python27\PC /Tppcapdumper.cc /Fobuild\temp.win-amd64-2.7\Release\pcapdumper.obj
    pcapdumper.cc
    pcapdumper.cc(11) : …