저는 다수의 PCAP 파일을 작업 중이며 표 형식 분석을 위해 해당 파일을 .tsv 파일로 변환하려고 합니다. 그래서 Ubuntu 22 VirtualBox 시스템에서 tshark를 사용하여 각 패킷을 프로파일링했습니다. for각 PCAP 파일을 처리하기 위해 루프에서 사용하는 bash 명령이 있습니다 .
tshark -r "${pcapFile}" -2 \
-T fields \
-E separator=/t \
-E header=y \
-E quote=d \
-e frame.time_epoch \
-e _ws.col.Info \
-e _ws.col.Protocol \
-e ip.src \
-e ip.dst \
-e ip.proto \
-e ip.version \
-e ip.hdr_len \
-e ip.src_host \
-e ip.dst_host \
-e ip.geoip.dst_city \
-e ip.geoip.dst_country_iso \
-e ip.geoip.dst_asnum \
-e ip.geoip.src_city \
-e ip.geoip.src_country_iso \
-e ip.geoip.src_asnum \
-e eth.src \
-e eth.dst > "${OUTPUT_FOLDER}/${filename}.tsv"
이상한 결과가 나타납니다.
sudo실행을 처리하는 동안 이 명령을 실행하면많은없는 것보다 더 빨리 달리세요sudo.- 이 명령을 실행하면
sudo이geoip필드가 비어 있지만, 그렇지 않으면sudo채워집니다.
처리해야 할 pcap 파일이 많고 빠르게 이동하기를 원하기 때문에 여기서 두 가지 장점을 최대한 활용하고 싶습니다. 게다가 이 geoip정보도 정말 필요합니다. geoip필드를 가져올 수 없는 이유 sudo및/또는 해당 필드 없이 처리가 빠르게 실행되지 않는 이유는 무엇입니까 sudo?
tshark 버전: 3.6.7-1~ubuntu22.04.0+wiresharkdevstablewireshark
버전: 3.6.7-1~ubuntu22.04.0+wiresharkdevstable
시스템 사양: 12 CPU, 24GB RAM, Ubuntu 22.04
답변1
당신은 가질 수 있습니다일반 사용자로 GeoIP 데이터베이스 설치루트가 아닌. 그렇기 때문에 루트로 실행할 때 아무것도 찾을 필요가 없으며, 이는 왜 더 빠르고 geoip 결과를 표시하지 않는지 모두 설명합니다.
나는 여기서 두 세계의 장점을 모두 누리기를 바랍니다.
불행하게도 당신은 아마도 그렇게 할 수 없을 것입니다.