Как я могу извлечь потоки вместо пакетов с помощью tshark?

Question

Как я могу извлечь потоки вместо пакетов с помощью tshark?

Я понимаю, что поток - это серия пакетов, и я хотел бы извлечь общее количество потоков вместо отдельных пакетов.

Я могу использовать tshark для получения пакетов для одного потока с помощью команды -Y:

C:\Program Files\Wireshark>tshark -Y tcp.stream==1 -r <pcap file> -T fields -e frame.number\
 -e frame.time -e frame.len -e ip.src -e ip.dst -e ip.proto -e ip.ttl\
 -e tcp.window_size_value -e tcp.srcport -e tcp.dstport -e udp.srcport\
 -e udp.dstport -e _ws.col.Info -E header=y -E separator=, -E quote=d -E occurrence=f\
 > <file.csv>

Однако мне бы хотелось, чтобы он давал мне поток между IP-адресом Src и Dest вместо всех пакетов, принадлежащих одному потоку, как показано на рисунке 6 этой исследовательской работы.

Могу ли я узнать, как я могу это сделать для большого файла pcap, который содержит несколько миллионов пакетов?

1

wireshark pcap tshark netflow botnet

Источник

user9601023 05 апр '18 в 08:30

1 ответ

Другие вопросы по тегам wireshark pcap tshark netflow botnet

user12043705 15 окт '21 в 00:36 2021-10-15 00:36 · Answer 1 · 2021-10-15 00:36

Вы можете извлечь информацию о с помощью потокахCICFlowMeter . Входными данными является файл PCAP, а выходными данными - файл CSV.

Файл CSV имеет шесть столбцов, помеченных для каждого потока (FlowID, SourceIP, DestinationIP, SourcePort, DestinationPort и Protocol) с более чем 80 функциями / столбцами.