2015-10-18 7 views
1

Я новичок в анализе сетевого трафика.Как извлечь полный набор функций из существующего файла pcap с помощью tshark или любого другого инструмента?

Я использовал следующую команду Tshark, но не повезло.

C: \ Program Files \ Wireshark> tshark -r C: \ Users \ Рави \ Desktop \ IDS-augustdocuments \ iscxdataset \ testbed13jun.pcapCopy \ расколоть \ small_00057_20100613213752.pcap Сепаратор =, -R «tcp.dat "-T fields frame.number -e имя приложения -e totalSourceBytes> C: \ Users \ Ravi \ Desktop \ IDS-augustdocuments \ iscxdataset \ testbed13jun.pcapCopy \ split \ 18oct.csv tshark:" = "было неожиданным в этом контексте.

Любые предложения, чтобы извлечь такие функции, как направление (для потоков), totalSourceBytes, totalDestinationBytes, totalDestinationPackets, totalSourcePackets, sourceTCPFlagsDescription и т.д.

+0

C: \ Program Files \ Wireshark> tshark -r C: \ Users \ Рави \ Desktop \ IDS-augustdocuments \ iscxdataset \ testbed13jun.pcapCopy \ расколе \ small_00057_20100613213752.pcap -T полей -e ip.src> C: \ output.txt Эта команда работает. Я пробовал и тестировал это, но мне нужны поля, такие как appName, Direction (потока как L2L, L2R и т. Д.), TotalSourcePackets и т. Д. – Ravi

ответ

2

Да , Bro IDS или Argus (аудит сетевой активности).

Argus пример:

racluster -L0 -m прото -r -s filepcap.arg прото saddr daddr spkts dpkts sbytes dbytes

Proto   SrcAddr   DstAddr SrcPkts DstPkts  SrcBytes  DstBytes 
    udp  84.125.xxx.xxx   0.0.0.0  2634  2580  205131  317889 
    tcp  84.125.xxx.xxx   0.0.0.0 34143 42585  6078099  48276978 
    arp  84.125.xxx.xxx  84.xxx.xxx.x  3  3   126   180 

С наилучшими пожеланиями,

+0

@Alfon, я попробую это и дам вам знать. Спасибо. – Ravi

+0

@Alfon, я попытался установить и настроить Argus на Ubuntu 14.04, используя ссылку http://nsmwiki.org/index.php?title=Argus#Getting_Started. Но я не мог заставить Аргуса бежать. Похоже, у меня есть некоторые проблемы с зависимостями. Есть ли подробное руководство по установке для того же самого? – Ravi

+0

Я использовал Bro IDS для получения необходимых полей из файла conn.log. Настройте Bro IDS, используйте команду «bro -r » и проверьте журналы, такие как conn.log, dns.log, http.log и т. Д. Для получения различной информации из файла журнала pcap. Ниже приведены поля. ц \t \t UID id.orig_h \t \t id.orig_p id.resp_h \t \t id.resp_p прото \t \t служба продолжительность \t \t orig_bytes resp_bytes \t – Ravi

1

Вы должны использовать кавычки:
разделитель = ""