从Wireshark监听的数据中提取需要的数据

简介: 最近,需要将wireshark监听的数据进行提取,分两步:首先,应该得出wireshark的数据包吧,在图形化界面中可以非常直观的将监听数据进行存储,但是这样需要手动操作非常麻烦,而且容易出错(随着处理数据包的数量增加,图形化可能吃不消,以前就遇见过),在linux下,采用了tshark命令,tsh...

最近,需要将wireshark监听的数据进行提取,分两步:首先,应该得出wireshark的数据包吧,在图形化界面中可以非常直观的将监听数据进行存储,但是这样需要手动操作非常麻烦,而且容易出错(随着处理数据包的数量增加,图形化可能吃不消,以前就遇见过),在linux下,采用了tshark命令,tshark就是wireshark图形界面命令行化,命令如下:

sudo tshark -f "udp port 1243"  -i eth0 (-w)> /tmp/capture.cap

对上面的命令进行解释:"udp port 1243",双引号内的东西就是对需要监听的内容进行一个筛选,也就是端口号为1243的udp数据包,-i后面就是需要监听的接口,接口后面的(-w)和(>)两个选项,表示需要存储文件的格式,-w存储的可能是二进制文件,例如,使用-w的话,那么这行命令执行以后capture.cap就是二进制的文件,那么使用>以后,则保存的文本文件,当然,现在需要的是纯文本文件,最后则是文件需要保存的路径以及名称。

第一步完成以后,则需要从数据中提取出来需要的数据,比如时间,源、目的地址等有用信息,我们采用如下命令:

sudo cat /tmp/capture.cap | awk'{print $1"\t" $2"\t" $3}' > /tmp/capture.txt 

此时cat的任务就是将需要被提取的文件展现出来,通过管道,将输出内容作为awk命令的输入,awk是一个非常好的数据处理工具。具体见鸟哥的私房菜基础篇363页!,同样的输出为纯文本格式文件capture.txt,完成了上述的工作,我想放入同一个脚本就能非常轻松的调用而且不用出错,将上述两行命令输入一个脚本中,但是我发现无法出来capture.txt文件,后来发现自己SB了,脚本是一行一行执行,第一行是一直执行的,根本执行不到第二行来,后来在第一行后面加上&,让其进行后台运行,capture.txt,倒是可以出来但是内容为空白,因为该文件仅仅在上面文件创建了就开始抓取自己的内容,当然什么也没有。

后来我想,我要的只是最后经过调整的数据,不需要中间数据啊,为什么不直接一条命令进行提取不就完了,于是将两个命令融合如下:

sudo tshark -f "udp port 1243" -i eth0 |awk '{print $1 "\t" $2 "\t" $3}' > /tmp/capture.txt 
相关文章
|
7月前
|
存储 缓存 网络协议
18.2 使用NPCAP库抓取数据包
NPCAP 库是一种用于在`Windows`平台上进行网络数据包捕获和分析的库。它是`WinPcap`库的一个分支,由`Nmap`开发团队开发,并在`Nmap`软件中使用。与`WinPcap`一样,NPCAP库提供了一些`API`,使开发人员可以轻松地在其应用程序中捕获和处理网络数据包。NPCAP库可以通过`WinPcap API`进行编程,因此现有的WinPcap应用程序可以轻松地迁移到NPCAP库上。与WinPcap相比,NPCAP库具有更好的性能和可靠性,支持最新的操作系统和硬件。它还提供了对`802.11`无线网络的本机支持,并可以通过`Wireshark`等网络分析工具进行使用。 N
64 0
18.2 使用NPCAP库抓取数据包
|
8月前
|
域名解析 网络协议
网络协议与攻击模拟-02-wireshark使用-显示过滤器
网络协议与攻击模拟-02-wireshark使用-显示过滤器
65 0
|
7月前
|
网络协议
Wireshark 捕获和显示过滤器
Wireshark 捕获和显示过滤器
86 0
|
5天前
|
网络协议
Wireshark 如何过滤抓到的网络包?
Wireshark 如何过滤抓到的网络包?
|
Python
python脚本基于端口开启服务识别信息收集
python脚本基于端口开启服务识别信息收集
195 0
|
网络协议 虚拟化
WireShark抓包报文结构分析
WireShark抓包报文结构分析
WireShark抓包报文结构分析
如何用wireshark过滤媒体流
首先是在媒体服务器的网卡上抓包。其次是获取到通话SIP信令的callid。并根据callid查到sip信令中SDP的IP和PORT。然后用callid及ip和port进行过滤,如果协商的是PCMA格式,那么还能在wireshark上直接听取通话的语音内容。下面我结合实际抓包及wirshark软件进行一一介绍。
如何用wireshark过滤媒体流
|
网络协议
ACK的累加规则-wireshark抓包分析-不包含tcp头部、ip头部、数据链路层头部等。
ACK的累加规则-wireshark抓包分析-不包含tcp头部、ip头部、数据链路层头部等。
ACK的累加规则-wireshark抓包分析-不包含tcp头部、ip头部、数据链路层头部等。
|
网络协议 Linux
TCP状态转换图文解说
TCP状态转换图文解说
231 0
TCP状态转换图文解说
|
网络协议 Python
python脚本基于TCP主机信息搜集
python脚本基于TCP主机信息搜集
107 0