Получение конкретной информации из файлов pcap

Меня интересует конкретная информация в поле .pcap (поле Frame control). Я хочу извлечь его в текстовый файл, а затем построить график с использованием извлеченных данных. Я могу экспортировать в текстовый файл, используя wireshark, но я ищу автоматизацию процесса.

На данный момент я знаю, что Tshark можно использовать для преобразования .pcap в текстовые файлы, но тогда он выводит весь пакет. Вместо этого меня интересует только одна конкретная информация.

Есть ли хороший способ сделать это.


networking wireshark wifi tshark
person Aman Deep Gautam    schedule 07.02.2013    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Есть ли хороший способ сделать это.

Может быть.

Если поле, которое вы хотите извлечь, имеет фильтр, вы можете использовать tshark для вывода только этого поля с помощью переключателей -T и -e;

tshark -Tfields -e tcp.port -r ....

Подробнее см. tshark -h...

Чтобы использовать wireshark для просмотра имени поля, щелкните поле в области сведений, а затем обратите внимание на имя поля, отображаемое в нижней строке состояния.

Какие поля конкретно вам нужны? из какого протокола?

person willyo    schedule 08.02.2013
comment
Я буду смотреть в него. У меня есть файл .pcap с пакетами 802.11, и я хочу извлечь информацию об управлении кадрами. - person Aman Deep Gautam; 08.02.2013
comment
Поле управления кадрами 802.11 называется wlan.fc, поэтому попробуйте tshark -Tfields -e wlan.fc -r ..... - person ; 09.02.2013