L'exportation du ppce de données au format csv: horodatage, en octets, de la liaison montante/liaison descendante, extra info

Je me demandais si il n'y a aucun outil capable d'analyser le ppce de données et de les convertir en un fichier csv contenant les informations suivantes:

timestamp, en octets, de la liaison montante/liaison descendante, quelques informations supplémentaires..

Fondamentalement, la liaison montante/liaison descendante peut être vu par l'adresse IP/MAC, et les infos supplémentaires n'est pas vraiment nécessaire, mais ce que je veux dire, c'est choisir un domaine spécifique d'un paquet par exemple.

J'ai essayé quelques outils mais je n'ai pas trouvé le convient encore. Sinon je vais écrire un petit analyseur.
Merci à l'avance!

tshark doit le faire, je le posterai si je trouve le résultat.
Voici une réponse sur la façon d'utiliser tshark à écrire .les fichiers csv: stackoverflow.com/questions/6962133/...

OriginalL'auteur Ekhi | 2011-11-11

TShark
Voici quelques exemples:

$ tshark -r test.ppce -T champs -e frame.nombre -e epf.src -e epf.dst-e ip.src -e ip.dst-e frame.len > test1.csv 

$ tshark -r test.ppce -T champs -e frame.nombre -e epf.src -e epf.dst-e ip.src -e ip.dst-e frame.len -E en-tête=y -E séparateur=, > test2.csv 

$ tshark -r test.ppce -R "cadre".nombre>40" -T champs -e frame.nombre d'e-cadre.temps -e frame.time_delta -e frame.time_delta_displayed -e frame.time_relative -E en-tête=y > test3.csv 

$ tshark -r test.ppce -R "wlan.fc.type_subtype == 0x08" -T champs -e frame.nombre -e wifi.sa-e wifi.bssid > test4.csv 

$ tshark -r test.ppce -R "de la propriété intellectuelle.addr==192.168.1.6 && tcp.port==1696 && ip.addr==67.212.143.22 && tcp.port==80" -T champs -e frame.nombre d'e-tcp.de l'analyse.ack_rtt -E en-tête=y > test5.csv 

$ tshark -r test.ppce -T champs -e frame.nombre d'e-tcp.de l'analyse.ack_rtt -E en-tête=y > test6.csv

OriginalL'auteur joke

3

Cherchez pas plus loin, wireshark est votre meilleur ami. Il peut ouvrir votre fichier pcap et vous permettent de spécifier les colonnes que vous voulez. Après, vous pouvez simplement les exporter au format csv. Sur l'interface principale, simplement avec le bouton droit sur l'une des colonnes et sélectionnez la colonne "préférence". Cela ouvre une nouvelle fenêtre qui est très intuitif. Il suffit d'ajouter une nouvelle colonne et de spécifier le nom du champ. Aussi simple que cela.

J'avais essayé tshark, mais croyez-moi ça devient un peu gênant, surtout avec ce:
```
 tshark: Lire les filtres ont été spécifiés avec l'option "-R", et avec d'autres arguments de ligne de commande." 
```
Ce message apparaît si vous incluez plusieurs colonnes ou pour une autre raison inconnue.

OriginalL'auteur stholy

Il semble que vous souhaitez Bro'logs de connexion:

bro -r trace.pcap
head conn.log

De sortie:

#separator \x09
#set_separator  ,
#empty_field    (empty)
#unset_field    -
#path   conn
#fields ts  uid id.orig_h   id.orig_p   id.resp_h   id.resp_p   proto   service duration    orig_bytes  resp_bytes  conn_state  local_orig  missed_bytes    history orig_pkts   orig_ip_bytes   resp_pkts   resp_ip_bytes
#types  time    string  addr    port    addr    port    enum    string  intervacount    count   string  bool    count   string  count   count   count   count
1258531221.486539   gvuu4KIHDph 192.168.1.102   68  192.168.1.1 67  udp -   0.163820    301 300 SF  -   0   Dd  1   329 1   328
1258531680.237254   6nWmFGj6kWg 192.168.1.103   137 192.168.1.255   137 udp dns 3.780125    350 0   S0  -   0   546 0   0
1258531693.816224   y2lMKyrnnO6 192.168.1.102   137 192.168.1.255   137 udp dns 3.748647    350 0   S0  -   0   546 0   0

Maintenant analyser les champs appropriés:

bro-cut ts id.orig_h id.orig_p id.resp_h id.resp_p service orig_bytes resp_bytes < conn.log | head

1258531221.486539   192.168.1.102   68  192.168.1.1     67  -   301 300
1258531680.237254   192.168.1.103   137 192.168.1.255   137 dns 350 0
1258531693.816224   192.168.1.102   137 192.168.1.255   137 dns 350 0
1258531635.800933   192.168.1.103   138 192.168.1.255   138 -   560 0
1258531693.825212   192.168.1.102   138 192.168.1.255   138 -   348 0
1258531803.872834   192.168.1.104   137 192.168.1.255   137 dns 350 0
1258531747.077012   192.168.1.104   138 192.168.1.255   138 -   549 0
1258531924.321413   192.168.1.103   68  192.168.1.1     67  -   303 300
1258531939.613071   192.168.1.102   138 192.168.1.255   138 -   -   -
1258532046.693816   192.168.1.104   68  192.168.1.1 67  -   311 300

OriginalL'auteur mavam

0

Comme indiqué dans les commentaires à la question, à la sortie de la les adresses ip pour les images dans un fichier de capture au format csv, utilisez quelque chose comme:
```
tshark -r <filename> -t fields -e ip.addr
```
Voir le tshark aide pour plus d'informations sur les options pour définir le séparateur et les guillemets dans la sortie csv.

Noms de champ peut être déterminé à l'aide de Wireshark pour examiner le fichier de capture et de la sélection d'un champ particulier dans le volet de détails. Le nom du champ sera alors affiché dans la ligne d'état en bas de la Wireshark fenêtre.

OriginalL'auteur willyo
0

Vous pouvez le faire à partir de la Wireshark application elle-même:
- Assurez-vous que vous avez enregistré le fichier sur un disque déjà (File>Save) (si vous venez de
  fait une capture)
- Aller à File>Export Packet Dissesctions>as "CSV" [etc]
- Puis entrez un nom de fichier (assurez-vous que vous ajoutez .csv sur la fin que WS n'est pas
  faire cela!)
Voila

OriginalL'auteur Matt Wilko
0

Est-il possible que nous pouvons définir les champs de séparateur d'autre que la virgule ?
Parce que dans mon fichier PCap, si j'ai mis le séparateur=, alors mes données dans des fichiers de sortie.csv) ne semble pas bon parce que j'ai , dans mes colonnes.

Donc, je veux savoir qu'est-il possible de définir le séparateur de champ comme les autres charactors c'est à dire, | (pip), etc

Grâce

OriginalL'auteur Rabeel Javed

Vous devez vous connecter pour publier un commentaire.