Как я могу читать файлы pcap в дружественном формате?

простая кошка в файле pcap выглядит ужасно:

  $ cat tcp_dump.pcap

? A² ???? YVJ?
          JJ
            ? @@ Е & л;.? ?? @@
? CA ?? QE? U ???? Dh?
.Ceh? YVJ ??
          JJ
            ? @@ Е & л;.? ?? @@
CA ?? QE? U ???? Ðμz?
.ChV? YVJ $? JJ
            ? @@ Е & л; -.?? /@@ CAͼ 9 ???? Ж ??? & усилителя ;?
.Ck ?? YVJgeJJ @@.? Ó ¢ # 3E <@ 3 {nͼ? 9CA? P? É? F? & Lt; K?
? Ф> `.Ck ?? YVJgeBB
               ? @@.? E4-0 @@ AFCAͼ? 9 ???? Р? Р? Е € ???
.Ck ?? Ô> `? YVJ?" "@@.? Ó ¢ # 3E? L @ 3? Iͼ? 9CA? P? Ê? F ?????
? О> ?. Ck? 220-rly-da03.mx
 

и др.

Я попытался сделать его красивее:

  sudo tcpdump -ttttnnr tcp_dump.pcap
чтение из файла tcp_dump.pcap, тип ссылки EN10MB (Ethernet)
2009-07-09 20: 57: 40.819734 IP 67.23.28.65.49237> 216.239.113.101.25: S 2535121895: 2535121895 (0) win 5840 <mss 1460, sackOK, временная метка 776168808 0, nop, wscale 5>
2009-07-09 20: 57: 43.819905 IP 67.23.28.65.49237> 216.239.113.101.25: S 2535121895: 2535121895 (0) win 5840 <mss 1460, sackOK, временная метка 776169558 0, nop, wscale 5>
2009-07-09 20: 57: 47.248100 IP 67.23.28.65.42385> 205.188.159.57.25: S 2644526720: 2644526720 (0) win 5840 <mss 1460, sackOK, временная метка 776170415 0, nop, wscale 5>
2009-07-09 20: 57: 47.288103 IP 205.188.159.57.25> 67.23.28.65.42385: S 1358829769: 1358829769 (0) ack 2644526721 win 5792 <mss 1460, sackOK, временная метка 4292123488 776170415, nop, wscale 2>
2009-07-09 20: 57: 47.288103 IP 67.23.28.65.42385> 205.188.159.57.25:. ack 1 win 183 <nop, nop, timestamp 776170425 4292123488>
2009-07-09 20: 57: 47.368107 IP 205.188.159.57.27> 67.23.28.65.42385: P 1: 481 (480) ack 1 win 1448 <nop, nop, timestamp 4292123568 776170425>
2009-07-09 20: 57: 47.368107 IP 67.23.28.65.42385> 205.188.159.57.25:. ack 481 win 216 <nop, nop, timestamp 776170445 4292123568>
2009-07-09 20: 57: 47.368107 IP 67.23.28.65.42385> 205.188.159.57.25: P 1:18 (17) ack 481 win 216 <nop, nop, timestamp 776170445 4292123568>
2009-07-09 20: 57: 47.404109 IP 205.188.159.57.25. 67.23.28.65.42385:. ack 18 win 1448 <nop, nop, timestamp 4292123606 776170445>
2009-07-09 20: 57: 47.404109 IP 205.188.159.57.25. 67.23.28.65.42385: P 481: 536 (55) ack 18 win 1448 <nop, nop, timestamp 4292123606 776170445>
2009-07-09 20: 57: 47.404109 IP 67.23.28.65.42385> 205.188.159.57.25: P 18:44 (26) ack 536 win 216 <nop, nop, timestamp 776170454 4292123606>
2009-07-09 20: 57: 47.444112 IP 205.188.159.57.25> 67.23.28.65.42385: P 536: 581 (45) ack 44 win 1448 <nop, nop, timestamp 4292123644 776170454>
2009-07-09 20: 57: 47.484114 IP 67.23.28.65.42385> 205.188.159.57.25:. ack 581 win 216 <nop, nop, timestamp 776170474 4292123644>
2009-07-09 20: 57: 47.616121 IP 67.23.28.65.42385> 205.188.159.57.25: P 44:50 (6) ack 581 win 216 <nop, nop, timestamp 776170507 4292123644>
2009-07-09 20: 57: 47.652123 IP 205.188.159.57.25. 67.23.28.65.42385: P 581: 589 (8) ack 50 win 1448 <nop, nop, timestamp 4292123855 776170507>
2009-07-09 20: 57: 47.652123 IP 67.23.28.65.42385> 205.188.159.57.25:. ack 589 win 216 <nop, nop, timestamp 776170516 4292123855>
2009-07-09 20: 57: 47.652123 IP 67.23.28.65.42385> 205.188.159.57.25: P 50:56 (6) ack 589 win 216 <nop, nop, timestamp 776170516 4292123855>
2009-07-09 20: 57: 47.652123 IP 67.23.28.65.42385> 205.188.159.57.25: F 56:56 (0) ack 589 win 216 <nop, nop, timestamp 776170516 4292123855>
2009-07-09 20: 57: 47.668124 IP 67.23.28.65.49239> 216.239.113.101.25: S 2642380481: 2642380481 (0) выиграть 5840 <mss 1460, sackOK, временная метка 776170520 0, nop, wscale 5>
2009-07-09 20: 57: 47.692126 IP 205.188.159.57.25. 67.23.28.65.42385: P 589: 618 (29) ack 57 win 1448 <nop, nop, timestamp 4292123893 776170516>
2009-07-09 20: 57: 47.692126 IP 67.23.28.65.42385> 205.188.159.57.25: R 2644526777: 2644526777 (0) выиграть 0
2009-07-09 20: 57: 47.692126 IP 205.188.159.57.25. 67.23.28.65.42385: F 618: 618 (0) ack 57 win 1448 <nop, nop, timestamp 4292123893 776170516>
2009-07-09 20: 57: 47.692126 IP 67.23.28.65.42385> 205.188.159.57.25: R 2644526777: 2644526777 (0) выиграть 0
 

Ну ... это намного красивее, но он не показывает фактические сообщения. Я могу извлечь больше информации, просто просматривая файл RAW. Каков наилучший (и, возможно, самый простой) способ просто просмотреть все содержимое файла pcap?

<сильный> UPDATE

Благодаря приведенным ниже ответам я сделал некоторый прогресс. Вот как это выглядит сейчас:

  tcpdump -qns 0 -A -r blah.pcap
    20: 57: 47.368107 IP 205.188.159.57.27. 67.23.28.65.42385: tcp 480
        0x0000: 4500 0214 834c 4000 3306 f649 cdbc 9f39 E .... L @ .3..I ... 9
        0x0010: 4317 1c41 0019 a591 50fe 18ca 9da0 4681 C..A .... P ..... F.
        0x0020: 8018 05a8 848f 0000 0101 080a ffd4 9bb0 ................
        0x0030: 2e43 6bb9 3232 302d 726c 792d 6461 3033 .Ck.220-rly-da03
        0x0040: 2e6d 782e 616f 6c2e 636f 6d20 4553 4d54 .mx.aol.com.ESMT
        0x0050: 5020 6d61 696c 5f72 656c 6179 5f69 6e2d P.mail_relay_in-
        0x0060:6461 3033 2e34 3b20 5468 752c 2030 3920 da03.4; .Thu, .09.
        0x0070: 4a75 6c20 3230 3039 2031 363a 3537 3a34 Jul.2009.16: 57: 4
        0x0080: 3720 2d30 3430 300d 0a32 3230 2d41 6d65 7.-0400..220-Ame
        0x0090: 7269 6361 204f 6e6c 696e 6520 2841 4f4c rica.Online. (AOL
        0x00a0: 2920 616e 6420 6974 7320 6166 6669 6c69) .and.its.affili
        0x00b0: 6174 6564 2063 6f6d 7061 6e69 6573 2064 ated.companies.d
 

и др.

Это выглядит хорошо, но он по-прежнему делает реальное сообщение справа трудным для чтения. Есть ли способ просмотреть эти сообщения более дружелюбно?

<сильный> UPDATE

Это сделало его довольно:

  tcpick -C -yP -r tcp_dump.pcap
 

Спасибо!

116 голосов | спросил Tony 10 J000000Friday09 2009, 01:17:49

6 ответов


108

Wireshark, вероятно, лучший, но если вам нужно /нужно посмотреть полезную нагрузку, не загружая графический интерфейс, вы можете использовать опции -X или -A

tcpdump -qns 0 -X -r serverfault_request.pcap

  14: 28: 33.800865 IP 10.2.4.243.41997> 69.59.196.212.80: tcp 1097
        0x0000: 4500 047d b9c4 4000 4006 63b2 0a02 04f3 E ..} .. @. @. C .....
        0x0010: 453b c4d4 a40d 0050 f0d4 4747 f847 3ad5 E; ..... P..GG.G :.
        0x0020: 8018 f8e0 1d74 0000 0101 080a 0425 4e6d ..... t .......% Nm
        0x0030: 0382 68a1 4745 5420 2f71 7565 7374 696f ..h.GET. /Questio
        0x0040: 6e73 2048 5454 502f 312e 310d 0a48 6f73 ns.HTTP /1.1..Hos
        0x0050: 743a 2073 6572 7665 7266 6175 6c74 2e63 t: .serverfault.c
        0x0060: 6f6d 0d0a 5573 6572 2d41 6765 6e74 3a20 om..User-Agent :.
        0x0070: 4d6f 7a69 6c6c 612f 352e 3020 2858 3131 Mozilla /5.0. (X11
        0x0080: 3b20 553b 204c 696e 7578 2069 3638 363b; .U; .Linux.i686;
 

tcpdump -qns 0 -A -r serverfault_request.pcap

  14: 29: 33.256929 IP 10.2.4.243.41997> 69.59.196.212.80: tcp 1097
E ..} .. @. @. Гр.
... E, ... ^ Т.пл .. ^ w.G ....... т .....
.%.} .. l.GET /вопросы HTTP /1.1
Хост: serverfault.com
 

Есть много других инструментов для чтения и получения статистики, извлечения полезных нагрузок и т. д. Быстрый просмотр количества вещей, которые зависят от libpcap в репозитории пакетов debian, дает список из 50 + инструментов, которые можно использовать для обработки фрагментов, кубиков, просмотра и манипуляции различными способами.

Например.

ответил Zoredache 10 J000000Friday09 2009, 01:32:07
26

Wireshark .

Вы никогда не сможете оглянуться назад:)

Кстати, вы должны убедиться, что snaplen вашего исходного захвата соответствует или превышает MTU трафика, который вы захватываете. В противном случае содержимое будет усечено.

ответил Dan Carley 10 J000000Friday09 2009, 01:21:37
18

Вы можете использовать wireshark , который является приложением gui, или вы можете использовать tshark , который является его клиентом.

Кроме того, вы можете визуализировать pcap с помощью нескольких инструментов визуализации:

  • tnv . Сетевой визуализатор или веб-визуализатор, основанный на времени.
  • afterglow - набор скриптов, которые облегчают процесс генерации графиков
  • INAV . Интерактивная сетевая визуализация активного трафика.

Если вы хотите проанализировать файл pcap, вы можете использовать excelent nsm-console .

Наконец, но не в последнюю очередь, вы можете загрузить свой pcap на pcapr.net и посмотреть его там. pcapr.net - это своего рода социальный сайт для анализа и комментирования трафика.

ответил chmeee 10 J000000Friday09 2009, 01:37:08
16

tshark -r file.pcap -V очень полезен, если вы застряли без wirehark /gui.

ответил Marcin 27 J000000Monday09 2009, 21:49:15
3

Вы можете просто загрузить файлы pcap в Wireshark , чтобы просмотреть их.

ответил Emmanuel BERNAT 10 J000000Friday09 2009, 01:21:40
2

Вы можете напрямую просматривать /записывать удаленные пакеты в wirehark с помощью tcpdump.

Удаленный захват пакетов с использованием WireShark & ​​amp; ТСРйитр

Как использовать tcpdump для захвата в файле pcap (дамп проводов)

ответил Rahul Panwar 26 12012vEurope/Moscow11bEurope/MoscowMon, 26 Nov 2012 14:59:00 +0400 2012, 14:59:00

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132