tshark 过滤 UDP 流

Question

我有一个场景，我有一个大块 PCAP 文件包含不同的流（共享源 IP 和端口、目标 IP 和源以及 TCP/UDP）。

我想知道是否可以使用 tshark 将这个大 pcap 文件拆分为不同的 pcap 文件流。每个 PCAP 文件都包含一个流。

我找到了这段代码，但它适用于 TCP 连接

tshark -r ~/Downloads/http.cap -T fields -e tcp.stream | sort -n | uniq 中的流

做

回声$流

tshark -r ~/Downloads/http.cap -w stream-$stream.cap -R "tcp.stream==$stream"

完成

我正在研究如何拆分 UDP 连接？

非常感谢您提前提供的帮助。 迈克

Answer 1

SplitCap 是你的朋友。
SplitCap 是一个开源的 pcap 文件拆分器。 默认情况下，它根据 UDP 和 TCP 会话将 pcap 拆分为多个文件。每个会话的输出是一个文件。
$ splitcap -r yourfile.pcap

你可以在我关于SplitCap and TShark的文章中阅读更多技巧

Answer 2

Splitcap 使用 -y L7 标志工作，但这也可以使用 tshark 完成，如下所示：

tshark -r http.cap -T fields -e data | xxd -r -p > out.bin

将 tshark 的输出通过管道传输到 xxd 是必要的，因为 tshark 的输出是十六进制的。您可能希望在 tshark 上按主机过滤（使用 -R 或 -Y 标志），以便最终得到连续的数据输出。