Wie konvertiere ich Wireshark-Erfassungsdateien in Textdateien?

9

Wie kann ich Wirshark Captures (.cap) -Dateien in Textdateien oder ein Format konvertieren, aus dem ich die Datei lesen und ihren Inhalt analysieren kann?

Grüße, Mithun

command-line-interface wireshark Vidya
quelle

Antworten:

10

Öffnen Sie Wireshark, wählen Sie Ihre .cap-Datei aus, gehen Sie zu Datei-> Exportieren und wählen Sie die gewünschten Optionen aus.

Wenn Sie dies über die Befehlszeile tun müssen, verwenden Sie tshark.exe wie folgt.

>tshark -i - < "c:\filename.cap" > "c:\output.txt

Wenn Sie die dekodierte Form von Paketen in eine Datei schreiben möchten, führen Sie TShark ohne die Option -w aus und leiten Sie die Standardausgabe in die Datei um (verwenden Sie nicht die Option -w).

mfinni
quelle
Datei-> Speichern unter hat auch zahlreiche Formate.
David
@ David - keine davon ist für Menschen lesbar, sie sind alle für die Verwendung mit anderen Verkehrsanalysatoren gedacht. "Exportieren" ist derjenige, mit dem Sie freundliche Textdateien oder strukturierte Dinge wie PS, CSV usw. erhalten
mfinni
Es tut mir leid, dass ich vergessen habe zu erwähnen. Ich möchte es über eine Befehlszeile konvertieren?
Vidya
OK, meine Antwort wurde so bearbeitet, dass sie Befehlszeilenoptionen enthält. @ Davey, unten, hat auch eine gute Antwort mit einem zusätzlichen Tool gepostet, das Sie möglicherweise haben oder nicht, tcpdump.
Mfinni
7

Die Option -A von tcpdump druckt jedes Paket in lesbarem ASCII und verarbeitet gerne Wireshark-Dateien. Sie können dies alles über die Befehlszeile tun:

tcpdump -A -r stackoverflow.cap > stackoverflow.txt

Die Ausgabe sieht aus wie:

9:22:33.664874 IP 192.168.1.11.33874 > stackoverflow.com.www: Flags [P.], seq 1117095075:1117095829, ack 3371415182, win 9648, options [nop,nop,TS val 9533909 ecr 313735664], length 754
E..&..@.@../....E;...R.PB.........%........
..y...9.GET / HTTP/1.1
Host: serverfault.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __qca=P0-141773580-1259521886021; __utmz=81883924.1275328201.133.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=hudson%20build%20dir; usr=t=kXSBoIG5Jk6S&s=wGmaIuhAD0eH; __utma=81883924.2034104685.1272993451.1276186265.1276193655.189; __utmc=81883924; __utmb=81883924.6.10.1276193655
If-Modified-Since: Thu, 10 Jun 2010 10:17:12 GMT
Davey
quelle
Angenommen, er läuft unter Unix. Oder Sie führen WinDump oder einen anderen Windows-Klon von TCPDump aus. Da der Typ Wireshark erwähnte, beschränkte ich meine Antwort auf die im Wireshark-Paket enthaltenen Tools.
Mfinni
2

Ich benutze die tshark -x -r file.pcapKommandozeile, wenn eine hexdumpartige Ausgabe für die Nachbearbeitung gut ist.

nik
quelle
0

Können Sie Wireshark nicht öffnen und diese .cap-Datei öffnen und dann aus dem Dateimenü als Textdatei exportieren? Ich habe versucht, mich auf Anhieb zu erinnern, aber ich dachte, du könntest ...

Bart Silverstrim
quelle
Es tut mir leid, dass ich vergessen habe zu erwähnen. Ich möchte es über eine Befehlszeile konvertieren?
Vidya