2
我用tcpdump得到了一堆pcap文件。我需要搜索所有关键字并记录哪些文件包含这些字符串。有没有办法使用tcpdump命令自动搜索这些关键字?用tcpdump搜索很多pcap文件
A
回答
1
有更强大的tcpdump版本,tshark(它是wireshark包中的命令行工具)。您可以使用tshark -T字段| pdml | ps | psml | text以您喜欢的格式转储数据包,并且只需grep它。 tshark可以读取tcpdump转储。
+0
我不太确定我会如何使用它。假设我有一个捕获文件(capture.pcap),我想搜索文件是否包含关键字“example1”和“example2”。我将如何使用您的解决方案? –
2
可能使用tshark最通用的解决方案是将运行类似:
tshark -r file.pcap -Y "frame contains foo"
...其中foo是你要搜索的字符串。有关使用contains和其他运算符(如支持Perl兼容正则表达式的matches运算符)进行筛选的更多信息,请参阅wireshark-filter man page。
使用该命令,您将看到的输出将是与过滤器匹配的每个数据包的单行摘要。你可以定制使用多种方法的输出,但例如,假设你只想知道匹配数据包的帧数,你可以运行:
tshark -r file.pcap -Y "frame contains foo" -T fields -e frame.number
参考tshark man page的详细信息,在-T和-e选项,以及可能对您有用的其他选项。
相关问题
- 1. 搜索,并在很多文件
- 2. 无需使用库从pcap文件(tcpdump输出)提取帧
- 3. 如何使用-C选项保存tcpdump pcap文件
- 4. ATM PCAP文件以太网PCAP文件
- 5. 多面搜索对于通用文本搜索真的很有用吗?
- 6. 使用will_paginate/searchlogic搜索很多字段
- 7. Rails站点在启动时搜索文件的很多目录?
- 8. 搜索多个SDF文件
- 9. 可以从Pcap文件中检索到的多个WEP密钥
- 10. 为什么搜索多张表很慢?
- 11. DNN搜索很慢
- 12. 以多文件搜索输入全文
- 13. 搜索文件
- 14. 在由Wireshark捕获的PCap文件中搜索unicode字符串(UTF-16)
- 15. 在单个文档中搜索很多字符串
- 16. 在单个文件中搜索多个搜索结果
- 17. Uniq很多文件
- 18. 在很多文件
- 19. tcpdump输出GET到文件
- 20. tcpdump捕获文件分析
- 21. 搜索跨多个卷的文件
- 22. 如何搜索多个.php文件?
- 23. 正在搜索多个文件上传
- 24. 文件搜索花费过多时间
- 25. 搜索多个单词在文件
- 26. Python多处理和文件搜索
- 27. VIM搜索多个关闭的文件
- 28. 搜索使用JSON文件
- 29. 用C搜索文件#
- 30. 使用c搜索文件#
也许一个使用'''dpkt'''模块的python脚本可以帮助你实现 –