利用Tshark提取PCAP

Question

我正在尝试使用Tshark工具提取PCAP。有没有任何方法来获取文件信息，如源和目标IP，源和目标端口，以及每个文件的时间戳提取的Tshark？例如。我正在提取文件sample.pcap，命令用于http：

tshark -q -r sample.pcap --export-objects 'http,tshark_extract_directory'

生成以下文件，

%2f gSEUozajoHorzUcfwjgep5-0HOV5tn4pzQS8exfGPXFOBGBQWrEcD1wKpJQk2T59 3h251q2c35 qxrWmriaPVb2cBLwxw1uR_EEnOuZR9mgVr3ReB3-1yiVm9H15-VbU3vylDw4RGW3 d2a42e1f7d9a1021bd7d93af414c95c4(1).php%3fq=70a9b40eb73da11445c3a3609c8241d9‘RSBbr6XDxZwv-i2lhZFras66SJRIL5vez28iuddGQjo94jue4fGqpAN9QPAW_yPY d2a42e1f7d9a1021bd7d93af414c95c4.php%3fq=70a9b40eb73da11445c3a3609c8241d9’xEztiZ7NM12Vj9c2RTB_MT0UEYH_re0UqLWZq_vBhBZGq0KGVP1BTVXxVeSy3Veo d6bc1dc7da4ed54a62b93b5d0f1cc40c.swf

提取的文件似乎没有正确的命名，即使我查看文件内部，我也很难找到我需要的信息。是否有可能获得源和目标ip或端口，如'3h251q2c35‘文件？如果可能的话，怎么做？

Answer 1

您可以使用-T & -e选项，它可以使用-Tjson从pcap示例中提取各个字段。

tshark -r <pcap_file> -Y <filter> -Tjson -e ipv6.src -e ipv6.dst -e tcp.srcport -e tcp.dstport -e frame.time

你应该得到这样的

[
  {
    "_index": "packets-2019-08-12",
    "_type": "pcap_file",
    "_score": null,
    "_source": {
      "layers": {
        "ipv6.src": [
          "xxxxxx"
        ],
        "ipv6.dst": [
          "xxxxxx"
        ],
        "tcp.srcport": [
          "1"
        ],
        "tcp.dstport": [
          "2"
        ],
        "frame.time": [
          "<time>"
        ]
      }
    }
  }
]

希望这能帮上忙！