实际使用中,wireshark 读取很大的捕获文件力不从心.因此需要使用命令行工具提高效率,借助脚本实现自动化.
例:
tshark -r *.pcapng | grep -e GET #tshark -r 读取数据包,grep -e 筛选出需要的信息.
1. 概述信息\统计数据\筛选并生成新数据包.
1.1 概述信息
capinfos *.pcapng #概述信息
1.2 统计数据
tshark -n -q -r *.pcap -z "rpc,programs"
tshark -n -q -r *.pcap -z "smb,srt"
-n 禁止名字解析
-q 统计使用 标准输出
-r 读取捕获文件
-z 捕获参数
优势:生成文档可用报表
tshark -n -q -r *.cap -z "io,stat,1.00,AVG(smb.time)smb.time"
1.3 筛选并生成新数据包
tshark -r *pcapng -Y "ip.addr==192.168.1.1" -w test.pcapng
其他
统计重传
tshark -n -q -r *.pcap -z "io,stat,0,tcp.analysis.retransmission"
查看tcp会话信息
tshark -n -q -r *.pcap -z "conv,tcp"
以4秒为间隔拆分成多个捕获文件
editcap *.pcapng test.pcapng -i 4