Comment convertir des fichiers de capture Wireshark en fichiers texte?

9

Comment puis-je convertir des fichiers de capture wirshark (.cap) en fichiers texte ou dans un format à partir duquel je peux lire le fichier et analyser son contenu?

Cordialement, Mithun

command-line-interface wireshark Vidya
la source

Réponses:

10

Ouvrez Wireshark, sélectionnez votre fichier .cap, puis allez dans Fichier-> Exporter et choisissez les options souhaitées.

Donc, si vous devez le faire à partir de la ligne de commande, utilisez tshark.exe, comme suit.

>tshark -i - < "c:\filename.cap" > "c:\output.txt

Si vous souhaitez écrire la forme décodée des paquets dans un fichier, exécutez TShark sans l'option -w et redirigez sa sortie standard vers le fichier (n'utilisez pas l'option -w).

mfinni
la source
Fichier-> Enregistrer sous a également de nombreux formats.
David
@David - aucun de ceux-ci n'est lisible par l'homme, ils sont tous destinés à être utilisés avec d'autres analyseurs de trafic. "Exporter" est celui qui vous permet d'obtenir des fichiers texte conviviaux ou des choses structurées comme PS, CSV, etc.
mfinni
désolé d'avoir oublié de mentionner. Je veux le convertir en utilisant une ligne de commande?
Vidya
OK, modifié ma réponse pour inclure les options de ligne de commande. @Davey, ci-dessous, a également publié une bonne réponse en utilisant un outil supplémentaire que vous pourriez avoir ou non, tcpdump.
mfinni
7

L'option -A de tcpdump imprime chaque paquet en ASCII lisible par l'homme et traite avec bonheur les fichiers Wireshark et vous pouvez tout faire à partir de la ligne de commande:

tcpdump -A -r stackoverflow.cap > stackoverflow.txt

La sortie ressemble à:

9:22:33.664874 IP 192.168.1.11.33874 > stackoverflow.com.www: Flags [P.], seq 1117095075:1117095829, ack 3371415182, win 9648, options [nop,nop,TS val 9533909 ecr 313735664], length 754
E..&..@.@../....E;...R.PB.........%........
..y...9.GET / HTTP/1.1
Host: serverfault.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __qca=P0-141773580-1259521886021; __utmz=81883924.1275328201.133.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=hudson%20build%20dir; usr=t=kXSBoIG5Jk6S&s=wGmaIuhAD0eH; __utma=81883924.2034104685.1272993451.1276186265.1276193655.189; __utmc=81883924; __utmb=81883924.6.10.1276193655
If-Modified-Since: Thu, 10 Jun 2010 10:17:12 GMT
Davey
la source
En supposant qu'il fonctionne sur Unix. Ou en exécutant WinDump ou un autre clone Windows de TCPDump. Depuis que le gars a mentionné Wireshark, j'ai limité ma réponse aux outils inclus dans le package Wireshark.
mfinni
2

J'utilise la tshark -x -r file.pcapligne de commande lorsque hexdump comme sortie est bon pour le post-traitement.

nik
la source
0

N'êtes-vous pas en mesure d'ouvrir Wheelshark et d'ouvrir ce fichier .cap, puis de l'exporter depuis le menu Fichier sous forme de fichier texte? Essayer de me souvenir du haut de ma tête mais je pensais que tu pouvais ...

Bart Silverstrim
la source
désolé d'avoir oublié de mentionner. Je veux le convertir en utilisant une ligne de commande?
Vidya