如何解决将pcap文件转换为csv:Tshark在一行中为某些数据包显示多个src,dst IP地址
我想使用“ Tshark”将pcap文件转换为csv / tsv,其中每行对应一个数据包,并具有以下格式: 时间戳src_ip dst_ip协议
我使用以下命令:
tshark -r
但是,在显示的输出中,我看到一些行具有两个src,dst IP地址和协议号,如下所示: 1525794300.3842 92.153.107.1,203.46.108.229 203.46.108.229,85.50.172.78 1,1
其余部分,每行都有一个src IP,一个dst IP和一个类似以下的协议:
1525794300.3843 185.61.46.124 163.218.99.213 6
tshark是否有任何原因在一行中显示多个src和dst ip地址?我们可以做些什么使tshark不这样做吗?
谢谢!
解决方法
tshark显示多个src和dst IP地址以及多个协议号的原因是因为数据包中有多个IP标头。在这种情况下,它是在ICMP数据包中携带有关另一个ICMP数据包的信息,可能是“在传输中超出了生存时间”或其他一些此类错误。如果您在Wireshark中打开文件或运行tshark -r <file_name.pcap> -Y "icmp",则可以自己查看。
如果您只对第一个(外部)IP src和dst地址以及协议号感兴趣,则可以将输出限制为每个字段的第一个出现,如下所示:
tshark -r <file_name.pcap> -T fields -E occurrence=f -e frame.time_epoch -e ip.src -e ip.dst -e ip.proto
或者,您可以指定列,同时以这种方式限制字段的出现:
在* nix上:
tshark -r <file_name.pcap> -o 'gui.column.format:"Epoch Time","%Cus:frame.time_epoch","Src","%Cus:ip.src:1","Dst","%Cus:ip.dst:1","Proto","%Cus:ip.proto:1"'
在Windows上:
tshark.exe -r <file_name.pcap> -o "gui.column.format:\"Epoch Time\",\"%Cus:frame.time_epoch\",\"Src\",\"%Cus:ip.src:1\",\"Dst\",\"%Cus:ip.dst:1\",\"Proto\",\"%Cus:ip.proto:1\""
运行tshark -G column-formats以获得有关列格式的其他帮助。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
