Como converter arquivos de captura do wireshark em arquivos de texto?

9

Como posso converter arquivos de captura do wirshark (.cap) em arquivos de texto ou em algum formato no qual posso ler o arquivo e analisar seu conteúdo?

Atenciosamente, Mithun

command-line-interface wireshark Vidya
fonte

Respostas:

10

Abra o Wireshark, selecione o arquivo .cap e, em seguida, vá em Arquivo-> Exportar e escolha as opções que deseja.

Portanto, se você precisar fazer isso na linha de comando, use tshark.exe, da seguinte maneira.

>tshark -i - < "c:\filename.cap" > "c:\output.txt

Se você deseja gravar a forma decodificada de pacotes em um arquivo, execute o TShark sem a opção -w e redirecione sua saída padrão para o arquivo (não use a opção -w).

mfinni
fonte
Arquivo-> Salvar como também possui vários formatos.
David
@ David - nenhum deles é legível por humanos, todos eles devem ser usados ​​com outros analisadores de tráfego. "Export" é o que você recebe arquivos de texto amigável, ou coisas estruturados como PS, CSV, etc.
mfinni
desculpe, eu esqueci de mencionar. Eu quero convertê-lo usando alguma linha de comando?
Vidya
OK, editei minha resposta para incluir opções de linha de comando. O @Davey, abaixo, também postou uma boa resposta usando uma ferramenta adicional que você pode ou não ter, tcpdump.
mfinni
7

A opção -A do tcpdump imprime cada pacote em ASCII legível por humanos e lida com prazer com arquivos wireshark e você pode fazer tudo isso na linha de comando:

tcpdump -A -r stackoverflow.cap > stackoverflow.txt

A saída se parece com:

9:22:33.664874 IP 192.168.1.11.33874 > stackoverflow.com.www: Flags [P.], seq 1117095075:1117095829, ack 3371415182, win 9648, options [nop,nop,TS val 9533909 ecr 313735664], length 754
E..&..@.@../....E;...R.PB.........%........
..y...9.GET / HTTP/1.1
Host: serverfault.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __qca=P0-141773580-1259521886021; __utmz=81883924.1275328201.133.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=hudson%20build%20dir; usr=t=kXSBoIG5Jk6S&s=wGmaIuhAD0eH; __utma=81883924.2034104685.1272993451.1276186265.1276193655.189; __utmc=81883924; __utmb=81883924.6.10.1276193655
If-Modified-Since: Thu, 10 Jun 2010 10:17:12 GMT
davey
fonte
Supondo que ele esteja rodando no Unix. Ou executando o WinDump ou outro clone do Windows do TCPDump. Como o cara mencionou o Wireshark, limitei minha resposta às ferramentas incluídas no pacote Wireshark.
mfinni
2

Eu uso a tshark -x -r file.pcaplinha de comando quando o hexdump como saída é bom para pós-processamento.

nik
fonte
0

Você não consegue abrir o wireshark e o arquivo .cap e exportá-lo do menu como um arquivo de texto? Tentando me lembrar da cabeça, mas pensei que você poderia ...

Bart Silverstrim
fonte
desculpe, eu esqueci de mencionar. Eu quero convertê-lo usando alguma linha de comando?
Vidya