使用python脚本将Pcap文件转换为文本

Question

我使用下面的代码将具有给定列的pcap file转换为text file。输出文本文件。代码不会给出任何错误，它会给出输出，但是没有任何数据，它会给出空的输出。你能帮我找出错误吗

from scapy.all import *
data = "Emotet-infection-with-Gootkit.pcap"
a = rdpcap(data)
os.system("tshark  -T fields -e _ws.col.Info -e http -e frame.time -e  "
      "data.data -w Emotet-infection-with-Gootkit.pcap > Emotet-infection-with-Gootkit.txt -c 1000")
os.system("tshark -r Emotet-infection-with-Gootkit.pcap -Y http -w Emotet-infection-with-Gootkit.pcap")
sessions = a.sessions()
i = 1
for session in sessions:
 http_payload = ""

Answer 1

-F k12text -r a.pcap -w a.txt.

"K12文本格式“是一种文本包捕获格式；它是一些Tektronix设备可以写出的格式--在这个意义上，它类似于写出原始十六进制数据，加上一些元数据。然而，从用户界面的意义上看，它更像是“另存为.”因为它是一种捕获文件格式。我想这对你是有用的

Answer 2

您正在运行的两个t鲨命令是：

tshark -T fields -e _ws.col.Info -e http -e frame.time -e data.data -w Emotet-infection-with-Gootkit.pcap > Emotet-infection-with-Gootkit.txt -c 1000

该命令将从默认接口执行实时捕获，将捕获的1000个数据包写入名为Emotet-infection-with-Gootkit.pcap的捕获文件(可能是pcapng，而不是pcapng，因为pcapng多年来一直是Wireshark的默认捕获格式)，并将Info列、HTTP数据包的单词"http“、非HTTP数据包的任何内容、时间戳以及任何其他未将数据作为文本解析到Emotet-infection-with-Gootkit.txt的内容写入。

tshark -r Emotet-infection-with-Gootkit.pcap -Y http -w Emotet-infection-with-Gootkit.pcap

它将读取Emotet-infection-with-Gootkit.pcap捕获文件并将其中的HTTP数据包写入到同一个文件中。不建议这样做，因为如果您正在读取文件并在给定的TShark命令中写入同一个文件，那么您将在读取文件时写入该文件。这可能起作用，也可能行不通。

如果要将HTTP数据包提取到文件中，我建议将其写入另一个文件，例如：

tshark -r Emotet-infection-with-Gootkit.pcap -Y http -w Emotet-infection-with-Gootkit-http-packets.pcap

因此，第一个命令执行实时捕获，将数据包写入pcapng文件，并将相关字段写入文本文件，第二个命令覆盖在第一个命令中写入的捕获文件。

第一个命令应该生成文本--您是说Emotet-infection-with-Gootkit.txt文件是空的吗？