tcpdump 출력 필터링(PCAP)

tag-icon tag-icon linux networking tcpdump
tcpdump 출력 필터링(PCAP)

아래는 내 PCAP 파일의 출력입니다.

20:02:52.306161 192.162.70.150.58078 > 192.179.91.61.1194: P 635362993:635363048(55) ack 2046024708 win 4373 <nop,nop,timestamp 52993632 1059054949> (DF)
20:02:52.532863 192.179.91.61.1194 > 192.162.70.150.58078: . ack 55 win 32038 <nop,nop,timestamp 1059062357 52993632> (DF)
20:02:53.157004 802.1d unknown version
20:02:54.759542 arp who-has 192.168.70.34 tell 192.168.70.1
20:02:55.156980 802.1d unknown version
20:02:55.759507 arp who-has 192.168.70.6 tell 192.168.70.1
20:02:55.759540 arp who-has 192.168.70.105 tell 192.168.70.1
20:02:56.148167 192.179.91.61.1194 > 192.168.70.150.58078: P 1:56(55) ack 55 win 32038 <nop,nop,timestamp 1059065972 52993632> (DF)
20:02:56.148258 192.168.70.150.58078 > 192.179.91.61.1194: . ack 56 win 4373 <nop,nop,timestamp 52994592 1059065972> (DF)

다음 패턴으로 콘텐츠를 필터링하는 방법이 있습니까?

Timestamp | source IP | source Port | destination IP | destination port | protocol | packet size

사용 가능한 명령: tcpdump, tcpslice, tcpstat, tcpprof,tcpparse

답변1

명령줄에서 tcpdump를 분석하려면 tcpparse다음 명령을 사용할 수 있습니다. 예를 들어:

# tcpparse tcpdump_file.pcap

6 192.135.33.41 132 > 192.168.20.119 1544 74
6 192.168.20.119 57604 > 192.135.33.41 1194 66
6 192.168.20.119 57604 > 192.135.33.41 1194 110
6 192.135.33.41 1194 > 192.168.20.119 57604 66
6 192.135.33.41 1194 > 192.168.20.119 57604 122
6 192.168.20.119 57604 > 192.135.33.41 1194 66
6 192.168.20.119 57604 > 192.135.33.41 1194 118

열 설명:-

  1. 규약
  2. 소스 IP 주소
  3. 소스 포트
  4. 대상 IP 주소
  5. 목적지 포트
  6. 패킷 크기.

동일하게 tcpdump -r사용할 수 있습니다.

답변2

캡처 파일을 Wireshark에 더 잘 로드할 수 있습니다. 그러면 대화 창에서 이 작업이 깔끔하게 수행됩니다.

그렇지 않은 경우 다음 스레드를 확인하세요. https://serverfault.com/questions/273066/tool-for-splitting-pcap-files-by-tcp-connection

관련 정보