Export von pcap-Daten im csv-Format: Zeitstempel, bytes, uplink/downlink, zusätzliche info

Ich Frage mich, ob es irgendein tool, das analysieren pcap-Daten und konvertieren Sie Sie in eine csv-Datei mit folgenden Informationen:

timestamp, bytes, uplink/downlink, einige zusätzliche info..

Grundsätzlich die uplink - /downlink gesehen werden konnte, indem Sie die IP - /MAC-Adresse, und das extra-info ist nicht wirklich nötig, aber was ich meine, ist wählen Sie ein bestimmtes Gebiet ein Paket zum Beispiel.

Habe ich versucht, einige Werkzeuge, aber ich habe nicht gefunden, die passende noch. Ansonsten Schreibe ich einen kleinen parser.
Vielen Dank im Voraus!

InformationsquelleAutor Ekhi | 2011-11-11
  1. 16

    TShark
    Hier sind einige Beispiele:

    $ tshark -r test.pcap -T fields-e frame.Anzahl -e eth.src -e eth.dst -e-ip.src -e-ip.dst -e frame.len > test1.csv 

$ tshark -r test.pcap -T fields-e frame.Anzahl -e eth.src -e eth.dst -e-ip.src -e-ip.dst -e frame.len -E header=y -E separator=, > test2.csv 

$ tshark -r test.pcap -R " - frame.Anzahl>40" -T fields-e frame.Anzahl -e frame.Zeit -e frame.time_delta -e frame.time_delta_displayed -e frame.time_relative -E header=y > "test3".csv 

$ tshark -r test.pcap -R "wlan.fc.type_subtype == 0x08" -T fields-e frame.Anzahl -e wlan.sa -e wlan.bssid > test4.csv 

$ tshark -r test.pcap -R "ip.addr==192.168.1.6 && tcp.port==1696 && ip.addr==67.212.143.22 && tcp.port==80" -T fields-e frame.Anzahl -e tcp.- Analyse.ack_rtt -E header=y > test5.csv 

$ tshark -r test.pcap -T fields-e frame.Anzahl -e tcp.- Analyse.ack_rtt -E header=y > test6.csv
    InformationsquelleAutor joke
  2. 3

    Suchen Sie nicht weiter, wireshark ist dein bester Freund. Es kann öffnen Sie Ihre pcap-Datei und können Sie angeben, zusätzliche Spalten, die Sie wollen. Danach können Sie einfach exportieren Sie Sie als csv-Datei. Auf die wichtigste Schnittstelle, einfach rechts auf eine der Spalten, und wählen Sie "Spalte " Präferenz". Es öffnet sich ein neues Fenster, das ist sehr intuitiv. Einfach eine neue Spalte hinzufügen, und geben Sie den Namen des Feldes. So einfach ist das.

    Hatte ich versucht tshark aber Vertrauen Sie mir, es wird ein bisschen nervig, vor allem mit diesem:

     tshark: Lesen Sie die Filter festgelegt wurden, die beide mit "R" und mit zusätzlichen Kommandozeilen-Argumente."

    Diese Meldung erscheint, wenn Sie zu viele Spalten oder aus irgendeinem unbekannten Grund.

    InformationsquelleAutor stholy
  3. 2

    Sieht es aus wie Sie wollen Bro's Protokolle:

    bro -r trace.pcap
head conn.log

    Ausgabe:

    #separator \x09
#set_separator  ,
#empty_field    (empty)
#unset_field    -
#path   conn
#fields ts  uid id.orig_h   id.orig_p   id.resp_h   id.resp_p   proto   service duration    orig_bytes  resp_bytes  conn_state  local_orig  missed_bytes    history orig_pkts   orig_ip_bytes   resp_pkts   resp_ip_bytes
#types  time    string  addr    port    addr    port    enum    string  intervacount    count   string  bool    count   string  count   count   count   count
1258531221.486539   gvuu4KIHDph 192.168.1.102   68  192.168.1.1 67  udp -   0.163820    301 300 SF  -   0   Dd  1   329 1   328
1258531680.237254   6nWmFGj6kWg 192.168.1.103   137 192.168.1.255   137 udp dns 3.780125    350 0   S0  -   0   546 0   0
1258531693.816224   y2lMKyrnnO6 192.168.1.102   137 192.168.1.255   137 udp dns 3.748647    350 0   S0  -   0   546 0   0

    Nun analysieren Sie die relevanten Felder:

    bro-cut ts id.orig_h id.orig_p id.resp_h id.resp_p service orig_bytes resp_bytes < conn.log | head

1258531221.486539   192.168.1.102   68  192.168.1.1     67  -   301 300
1258531680.237254   192.168.1.103   137 192.168.1.255   137 dns 350 0
1258531693.816224   192.168.1.102   137 192.168.1.255   137 dns 350 0
1258531635.800933   192.168.1.103   138 192.168.1.255   138 -   560 0
1258531693.825212   192.168.1.102   138 192.168.1.255   138 -   348 0
1258531803.872834   192.168.1.104   137 192.168.1.255   137 dns 350 0
1258531747.077012   192.168.1.104   138 192.168.1.255   138 -   549 0
1258531924.321413   192.168.1.103   68  192.168.1.1     67  -   303 300
1258531939.613071   192.168.1.102   138 192.168.1.255   138 -   -   -
1258532046.693816   192.168.1.104   68  192.168.1.1 67  -   311 300
    InformationsquelleAutor mavam
  4. 0

    Wie bereits in den Kommentaren auf die Frage, um die Ausgabe der ip-Adressen für die frames im capture file im csv-format verwenden, so etwas wie:

    tshark -r <filename> -t fields -e ip.addr

    Sehen die tshark-Hilfe für weitere Informationen über die Optionen legen Sie das Trennzeichen und quoting-Zeichen in der csv-Ausgabe.

    Feld-Namen kann bestimmt werden, mithilfe von Wireshark zu untersuchen, die capture-Datei an und wählen Sie ein bestimmtes Feld in den Detailbereich. Das Feld name wird dann angezeigt in der status-Zeile am unteren Rand des Wireshark-Fenster.

    InformationsquelleAutor willyo
  5. 0

    Können Sie dies über die Wireshark-Anwendung selbst:

    • Stellen Sie sicher, dass Sie die Datei gespeichert haben, auf der Festplatte bereits (File>Save) (wenn Sie nur
      erfolgt eine Aufnahme)
    • Gehen File>Export Packet Dissesctions>as "CSV" [etc]
    • Dann geben Sie einen Dateinamen ein (stellen Sie sicher, Sie hinzufügen .csv am Ende als WS nicht
      dies tun!)

    Voila

    InformationsquelleAutor Matt Wilko
  6. 0

    Ist es möglich, dass wir Felder Trennzeichen kein Komma ?
    Weil in meinem PCap-Datei, wenn ich die separator=, dann meine Daten in der output-Datei (.csv) nicht gut aussieht, weil ich , in meiner meisten Spalten.

    So, ich möchte wissen, gibt es eine Möglichkeit, wir können den Feld-separator wie andere charactors d.h., | (pip) etc

    Dank

    InformationsquelleAutor Rabeel Javed
  7. 0

    Hier ist das python-tool zum aufteilen des pcap in fließt und die Ausgabe der extrahierten features in eine CSV-Datei

    Versuchen Sie es mit flows_to_weka tool in python

    Dies erfordert eine version von scapy in Ihrem system installiert werden und besser kopieren Sie die scapy-Ordner innerhalb des weka-Ordner. Und kopieren Sie die wfe.py, tcp_stream.py und entropy.py Dateien innerhalb der scapy-Ordner. Nachdem Sie dies getan
    Das aktuelle Verzeichnis sollte in etwa so Aussehen:

    C:\Users\INKAKA\flows_to_weka\scapy

    und kopieren .pcap-Datei in diesen Ordner und versuchen Sie diesen Befehl ausführen :

    $python  wfe.py -i input.pcap -t csv > output.csv

    - und Sie können auch abgerufen werden die Funktionen, die Sie möchten, indem Sie die erforderlichen Funktionen in tcp_stream.py und wfe.py.

    Für die Referenz, die Sie besuchen können :
    https://github.com/fichtner/flows_to_weka

    InformationsquelleAutor kalyan karumudi
Schreibe einen Kommentar