のpcapデータを解析し、次の情報をCSVファイルに変換することができます任意のツールがあれば、私は思っていた:エクスポートのpcapデータ:タイムスタンプ、バイト、アップリンク/ダウンリンク、余分な情報
タイムスタンプは、バイト、アップリンク/ダウンリンク、いくつかの追加情報..
基本的に、アップリンク/ダウンリンクはIP/MACアドレスで見ることができ、追加情報は本当に必要ではありませんが、例えば、パケットのフィールド。
私はいくつかのツールを試してきましたが、まだ適切なツールを見つけられませんでした。さもなければ私は小さなパーサーを書くでしょう。 ありがとうございます!
フレームのIPアドレスは、csv形式の使用中のキャプチャファイルに出力し、質問へのコメントで述べたようにのようなもの:
tshark -r <filename> -t fields -e ip.addr
を設定するオプションの詳細についてはtsharkのヘルプを参照してください。 csv出力の区切り文字および引用符文字。
フィールド名は、Wiresharkを使用してキャプチャファイルを調べ、詳細ペインで特定のフィールドを選択することで判断できます。フィールド名は、Wiresharkウィンドウの下部にあるステータス行に表示されます。
tsharkの
ここではいくつかの例は以下のとおりです。
$ tshark -r test.pcap -T fields -e frame.number -e eth.src -e eth.dst -e ip.src -e ip.dst -e frame.len > test1.csv $ tshark -r test.pcap -T fields -e frame.number -e eth.src -e eth.dst -e ip.src -e ip.dst -e frame.len -E header=y -E separator=, > test2.csv $ tshark -r test.pcap -R "frame.number>40" -T fields -e frame.number -e frame.time -e frame.time_delta -e frame.time_delta_displayed -e frame.time_relative -E header=y > test3.csv $ tshark -r test.pcap -R "wlan.fc.type_subtype == 0x08" -T fields -e frame.number -e wlan.sa -e wlan.bssid > test4.csv $ tshark -r test.pcap -R "ip.addr==192.168.1.6 && tcp.port==1696 && ip.addr==67.212.143.22 && tcp.port==80" -T fields -e frame.number -e tcp.analysis.ack_rtt -E header=y > test5.csv $ tshark -r test.pcap -T fields -e frame.number -e tcp.analysis.ack_rtt -E header=y > test6.csv
あなたはBroの接続ログたいように見えます:
bro -r trace.pcap
head conn.log
が出力:
#separator \x09
#set_separator ,
#empty_field (empty)
#unset_field -
#path conn
#fields ts uid id.orig_h id.orig_p id.resp_h id.resp_p proto service duration orig_bytes resp_bytes conn_state local_orig missed_bytes history orig_pkts orig_ip_bytes resp_pkts resp_ip_bytes
#types time string addr port addr port enum string intervacount count string bool count string count count count count
1258531221.486539 gvuu4KIHDph 192.168.1.102 68 192.168.1.1 67 udp - 0.163820 301 300 SF - 0 Dd 1 329 1 328
1258531680.237254 6nWmFGj6kWg 192.168.1.103 137 192.168.1.255 137 udp dns 3.780125 350 0 S0 - 0 546 0 0
1258531693.816224 y2lMKyrnnO6 192.168.1.102 137 192.168.1.255 137 udp dns 3.748647 350 0 S0 - 0 546 0 0
を今すぐ関連するフィールドを解析します:
bro-cut ts id.orig_h id.orig_p id.resp_h id.resp_p service orig_bytes resp_bytes < conn.log | head
1258531221.486539 192.168.1.102 68 192.168.1.1 67 - 301 300
1258531680.237254 192.168.1.103 137 192.168.1.255 137 dns 350 0
1258531693.816224 192.168.1.102 137 192.168.1.255 137 dns 350 0
1258531635.800933 192.168.1.103 138 192.168.1.255 138 - 560 0
1258531693.825212 192.168.1.102 138 192.168.1.255 138 - 348 0
1258531803.872834 192.168.1.104 137 192.168.1.255 137 dns 350 0
1258531747.077012 192.168.1.104 138 192.168.1.255 138 - 549 0
1258531924.321413 192.168.1.103 68 192.168.1.1 67 - 303 300
1258531939.613071 192.168.1.102 138 192.168.1.255 138 - - -
1258532046.693816 192.168.1.104 68 192.168.1.1 67 - 311 300
もう見ないと、wiresharkはあなたの親友です。あなたのpcapファイルを開き、必要な余分な列を指定することができます。この後、単純にcsvとしてエクスポートできます。メインインターフェイスでは、列のいずれかを右クリックし、[列の優先順位]を選択します。非常に直感的な新しいウィンドウが開きます。新しい列を追加し、フィールド名を指定するだけです。それと同じくらい簡単です。
私はtsharkのを試してみましたが、特にこれとそれは少し迷惑になり私を信頼していた:
tshark: Read filters were specified both with "-R" and with additional command-line arguments."
をあなたはあまりにも多くの列が含まれるか不明何らかの理由であれば、このメッセージがポップアップ表示されます。
あなたがWiresharkのアプリケーション自体からこれを行うことができます。
File>Save)すでにディスクにファイルを保存していることを確認してくださいゴーFile>Export Packet Dissesctions>as "CSV" [etc]出来上がり
は、それは我々がフィールドがカンマ以外のセパレータに設定できることは可能ですか? 私のPCapファイルで、セパレータ=を設定すると、出力ファイル(.csv)内のデータが、ほとんどの列にあるために良好に見えません。
他の文字のようにフィールドセパレータを設定できる方法があることを知りたいと思います。
ありがとうございました
結果が見つかったら投稿します。 – Ekhi
ここでは、tsharkを使用して.csvファイルを書き込む方法についての回答です:http://stackoverflow.com/questions/6962133/plot-rtt-histogram-using-wireshark-or-other-tool/6969664#6969664 – rupello