¿Cómo convierto los archivos de captura de Wirehark en archivos de texto?

9

¿Cómo puedo convertir archivos de captura de wirshark (.cap) en archivos de texto o algún formato desde el que pueda leer el archivo y analizar su contenido?

Saludos, Mithun

command-line-interface wireshark Vidya
fuente

Respuestas:

10

Abra Wireshark, seleccione su archivo .cap y luego vaya a Archivo-> Exportar y elija las opciones que desee.

Entonces, si necesita hacerlo desde la línea de comandos, use tshark.exe, como se indica a continuación.

>tshark -i - < "c:\filename.cap" > "c:\output.txt

Si desea escribir la forma decodificada de paquetes en un archivo, ejecute TShark sin la opción -w y redirija su salida estándar al archivo (no use la opción -w).

mfinni
fuente
Archivo-> Guardar como también tiene numerosos formatos.
David
@David: ninguno de ellos es legible para humanos, todos están destinados para su uso con otros analizadores de tráfico. "Exportar" es la que se obtiene archivos de texto amable, o cosas estructuradas como PS, CSV, etc.
mfinni
Lo siento, olvidé mencionarlo. Quiero convertirlo usando alguna línea de comando?
Vidya
OK, edité mi respuesta para incluir opciones de línea de comandos. @Davey, a continuación, también publicó una buena respuesta usando una herramienta adicional que puede tener o no, tcpdump.
mfinni
7

La opción -A de tcpdump imprime cada paquete en ASCII legible para humanos y felizmente maneja los archivos de Wirehark y puede hacerlo todo desde la línea de comandos:

tcpdump -A -r stackoverflow.cap > stackoverflow.txt

El resultado se ve así:

9:22:33.664874 IP 192.168.1.11.33874 > stackoverflow.com.www: Flags [P.], seq 1117095075:1117095829, ack 3371415182, win 9648, options [nop,nop,TS val 9533909 ecr 313735664], length 754
E..&..@.@../....E;...R.PB.........%........
..y...9.GET / HTTP/1.1
Host: serverfault.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __qca=P0-141773580-1259521886021; __utmz=81883924.1275328201.133.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=hudson%20build%20dir; usr=t=kXSBoIG5Jk6S&s=wGmaIuhAD0eH; __utma=81883924.2034104685.1272993451.1276186265.1276193655.189; __utmc=81883924; __utmb=81883924.6.10.1276193655
If-Modified-Since: Thu, 10 Jun 2010 10:17:12 GMT
davey
fuente
Asumiendo que está corriendo en Unix. O ejecutando WinDump u otro clon de TCPDump en Windows. Como el tipo mencionó Wireshark, limité mi respuesta a las herramientas incluidas en el paquete Wireshark.
mfinni
2

Uso la tshark -x -r file.pcaplínea de comando cuando la salida hexdump como salida es buena para el procesamiento posterior.

nik
fuente
0

¿No puede abrir wireshark y abrir ese archivo .cap, luego exportarlo desde el menú de archivo como un archivo de texto? Tratando de recordar la parte superior de mi cabeza pero pensé que podrías ...

Bart Silverstrim
fuente
Lo siento, olvidé mencionarlo. Quiero convertirlo usando alguna línea de comando?
Vidya