Bagaimana cara mengonversi file penangkap wireshark ke file teks?

9

Bagaimana saya bisa mengonversi file wirshark captures (.cap) menjadi file teks atau beberapa format dari mana saya bisa membaca file dan mengurai isinya?

Salam, Mithun

Vidya
sumber

Jawaban:

10

Buka Wireshark, pilih file .cap Anda, lalu buka File-> Ekspor dan pilih opsi yang Anda inginkan.

Jadi, jika Anda perlu melakukannya dari baris perintah, gunakan tshark.exe, sebagai berikut.

>tshark -i - < "c:\filename.cap" > "c:\output.txt

Jika Anda ingin menulis bentuk paket yang diterjemahkan ke file, jalankan TShark tanpa opsi -w, dan arahkan output standarnya ke file (jangan gunakan opsi -w).

mfinni
sumber
File-> Save As juga memiliki banyak format.
David
@ David - tidak ada yang bisa dibaca manusia, semuanya dimaksudkan untuk digunakan dengan penganalisa lalu lintas lainnya. "Ekspor" adalah yang memberi Anda file teks yang ramah, atau hal-hal terstruktur seperti PS, CSV, dll.
mfinni
maaf saya lupa menyebutkan. Saya ingin mengonversinya menggunakan beberapa baris perintah?
Vidya
OK, edit jawaban saya untuk memasukkan opsi baris perintah. @Davey, di bawah, juga memposting jawaban yang bagus menggunakan alat tambahan yang mungkin Anda miliki atau tidak miliki, tcpdump.
mfinni
7

Opsi -A dari tcpdump mencetak setiap paket dalam ASCII yang dapat dibaca manusia dan dengan senang hati menangani file wireshark dan Anda dapat melakukan semuanya dari baris perintah:

tcpdump -A -r stackoverflow.cap > stackoverflow.txt

Outputnya terlihat seperti:

9:22:33.664874 IP 192.168.1.11.33874 > stackoverflow.com.www: Flags [P.], seq 1117095075:1117095829, ack 3371415182, win 9648, options [nop,nop,TS val 9533909 ecr 313735664], length 754
E..&..@.@../....E;...R.PB.........%........
..y...9.GET / HTTP/1.1
Host: serverfault.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.70 Safari/533.4
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __qca=P0-141773580-1259521886021; __utmz=81883924.1275328201.133.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=hudson%20build%20dir; usr=t=kXSBoIG5Jk6S&s=wGmaIuhAD0eH; __utma=81883924.2034104685.1272993451.1276186265.1276193655.189; __utmc=81883924; __utmb=81883924.6.10.1276193655
If-Modified-Since: Thu, 10 Jun 2010 10:17:12 GMT
davey
sumber
Dengan asumsi dia berjalan di Unix. Atau menjalankan WinDump atau klon TCPDump Windows lainnya. Karena orang itu menyebut Wireshark, saya membatasi jawaban saya pada alat yang termasuk dalam paket Wireshark.
mfinni
2

Saya menggunakan tshark -x -r file.pcapbaris perintah ketika hexdump seperti output baik untuk pemrosesan pos.

nik
sumber
0

Apakah Anda tidak dapat membuka wireshark dan membuka file .cap itu, lalu mengekspornya dari menu file sebagai file teks? Mencoba untuk mengingat dari atas kepalaku tetapi saya pikir Anda bisa ...

Bart Silverstrim
sumber
maaf saya lupa menyebutkan. Saya ingin mengonversinya menggunakan beberapa baris perintah?
Vidya