tshark用于过滤UDP流

Question

我有一个场景，其中我有一个包含不同流的大块PCAP文件(共享源IP和端口、目标IP和源以及TCP/UDP)。

我想知道我是否可以使用tshark将这个大的pcap文件分割成不同的pcap文件流。每个PCAP文件包含单个流。

我找到了这段代码，但它适用于TCP连接

对于tshark -r ~/Downloads/http.cap -T fields -e tcp.stream | sort -n | uniq中的流

做

echo $stream

tshark -r ~/Downloads/http.cap -w stream-$stream.cap -R "tcp.stream==$stream"

完成

我正在寻找如何拆分UDP连接？

非常感谢您提前给予的帮助。麦克

Answer 1

SplitCap是你的朋友。

SplitCap是一个开源的pcap文件拆分器。默认情况下，它根据UDP和TCP会话将一个pcap拆分为多个文件。输出是每个会话一个文件。

$ splitcap -r yourfile.pcap

您可以在我关于SplitCap and TShark的文章中阅读更多的技巧

Answer 2

Splitcap使用-y L7标志工作，但这也可以使用tshark完成，如下所示：

tshark -r http.cap -T fields -e data | xxd -r -p > out.bin

通过管道将tshark的输出传送到xxd是必要的，因为tshark的输出是十六进制的。您可能希望在tshark上按主机(使用-R或-Y标志)进行过滤，这样就可以得到连续的数据输出。