2
我用tcpdump得到了一堆pcap文件。我需要搜索所有關鍵字並記錄哪些文件包含這些字符串。有沒有辦法使用tcpdump命令自動搜索這些關鍵字?用tcpdump搜索很多pcap文件
A
回答
1
有更強大的tcpdump版本,tshark(它是wireshark包中的命令行工具)。您可以使用tshark -T字段| pdml | ps | psml | text以您喜歡的格式轉儲數據包,並且只需grep它。 tshark可以讀取tcpdump轉儲。
+0
我不太確定我會如何使用它。假設我有一個捕獲文件(capture.pcap),我想搜索文件是否包含關鍵字「example1」和「example2」。我將如何使用您的解決方案? –
2
可能使用tshark最通用的解決方案是將運行類似:
tshark -r file.pcap -Y "frame contains foo"
...其中foo是你要搜索的字符串。有關使用contains和其他運算符(如支持Perl兼容正則表達式的matches運算符)進行篩選的更多信息,請參閱wireshark-filter man page。
使用該命令,您將看到的輸出將是與過濾器匹配的每個數據包的單行摘要。你可以定製使用多種方法的輸出,但例如,假設你只想知道匹配數據包的幀數,你可以運行:
tshark -r file.pcap -Y "frame contains foo" -T fields -e frame.number
參考tshark man page的詳細信息,在-T和-e選項,以及可能對您有用的其他選項。
相關問題
- 1. 搜索,並在很多文件
- 2. 無需使用庫從pcap文件(tcpdump輸出)提取幀
- 3. 如何使用-C選項保存tcpdump pcap文件
- 4. ATM PCAP文件以太網PCAP文件
- 5. 多面搜索對於通用文本搜索真的很有用嗎?
- 6. 使用will_paginate/searchlogic搜索很多字段
- 7. Rails站點在啓動時搜索文件的很多目錄?
- 8. 搜索多個SDF文件
- 9. 可以從Pcap文件中檢索到的多個WEP密鑰
- 10. 爲什麼搜索多張表很慢?
- 11. DNN搜索很慢
- 12. 以多文件搜索輸入全文
- 13. 搜索文件
- 14. 在由Wireshark捕獲的PCap文件中搜索unicode字符串(UTF-16)
- 15. 在單個文檔中搜索很多字符串
- 16. 在單個文件中搜索多個搜索結果
- 17. Uniq很多文件
- 18. 在很多文件
- 19. tcpdump輸出GET到文件
- 20. tcpdump捕獲文件分析
- 21. 搜索跨多個卷的文件
- 22. 如何搜索多個.php文件?
- 23. 正在搜索多個文件上傳
- 24. 文件搜索花費過多時間
- 25. 搜索多個單詞在文件
- 26. Python多處理和文件搜索
- 27. VIM搜索多個關閉的文件
- 28. 搜索使用JSON文件
- 29. 用C搜索文件#
- 30. 使用c搜索文件#
也許一個使用'''dpkt'''模塊的python腳本可以幫助你實現 –