tshark網路流量分析入門

2022-06-18 22:00:32 字數 2645 閱讀 1225

大名鼎鼎的網路抓包分析包工具wireshark的終端命令列形式--tshark,除了互動式影象化介面,但凡wireshark具有的功能,它都具有。

linux中安裝命令:

sudo apt-get install tshark
在終端中開啟後,直接輸入不含任何引數控制的tshark命令後,會自動進行資料報抓取,分組資訊逐一在終端呈現,ctrl+c結束抓包過程。

tshark -w ~/desktop/test.pcap -c 10
上述命令列實現對網路流量分組抓取,將前10個分組抓取並儲存到/home/mumu/desktop路徑下的命名檔案test.pcap中,網路介面預設第乙個(可以使用tsark -d檢視所有可用網路介面)

對已儲存分組資訊通過引數控制獲得目標屬性內容,如:提取幀數、幀相對時間、源頭ip位址、目的地ip位址、資料報協議,以及來自之前捕獲的網路流量的網路資料報的長度,鍵入命令:

tshark -r login.tcpdump -t fields -e frame.number -eframe.time_relative -e ip.src -e ip.dst -e


frame.protocols -e frame.len -e header=y -e quote=n -e occurrence=f
-e header=y選項指令tshark先輸出報頭行。-e quote=n規定tshark不包括引號裡面的資料,而-e occurrence=f指令tshark使用有多個occurrence的字段的頭乙個occurrence。

輸出結果:

frame.number    frame.time_relative    ip.src           frame.protocols	                frame.len


1	        0.000000000	       192.168.0.106	eth:ethertype:ip:tcp	        74


2	        4.600294664	       192.168.0.1	eth:ethertype:ip:udp:data	147


3	        4.600846088	       192.168.0.1	eth:ethertype:ip:udp:ssdp	303


4	        4.601003537	       192.168.0.1	eth:ethertype:ip:udp:ssdp	312


5	        4.601231011	       192.168.0.1	eth:ethertype:ip:udp:ssdp	375


6	        4.601380060	       192.168.0.1	eth:ethertype:ip:udp:ssdp	312


7	        4.601607844	       192.168.0.1	eth:ethertype:ip:udp:ssdp	351


8	        4.601773182	       192.168.0.1	eth:ethertype:ip:udp:ssdp	312


9	        4.601954529	       192.168.0.1	eth:ethertype:ip:udp:ssdp	371


10	        4.602168547	       192.168.0.1	eth:ethertype:ip:udp:ssdp	367
下述**實現對儲存的分組資訊,分析其ip位址的有效性,**文字命名為checkip.py

import socket


import sys


import re


def valid_ip(address):


try:


# 將點分十進位制字串資料轉換為二進位制字串


socket.inet_aton(address)


return true


except:


return false


total = 0


valid = 0


invalid = 0


for line in sys.stdin:


total = total + 1


line = line.rstrip('\n')


if valid_ip(line):


valid = valid + 1


else:


invalid = invalid + 1


#顯示已檢查的ip位址總數


print("total number of ips checked:",total)


print("valid ips found:",valid)


print("invalid ips found:",invalid)
終端鍵入命令:

tshark -r ~/networkdata.pcap -t fields -e ip.src | python checkip.py
終端結果顯示:

total number of ips checked: 10


valid ips found: 8


invalid ips found: 2

網路流量分析

coding utf 8 import pyshark from scapy.all import import matplotlib.pyplot as plt 讀取pcap檔案 packets pyshark.filecapture net package.pcap def protocal p...

網路流量分析工具Windump

執行平台 windows unix 軟體類別 免費軟體 windump是windows環境下一款經典的網路協議分析軟體,其unix版本名稱為tcpdump。它可以捕捉網路上兩台電腦之間所有的資料報,供網路管理員 入侵分析員做進一步流量分析和入侵檢測。在這種監視狀態下,任何兩台電腦之間都沒有秘密可言,...

網路流量分析器

隨著網路變得越來越快和複雜,新的效能問題出現了。傳統的網路監控會花費太多的時間,網路分析師正在尋找這樣一種工具,不僅能幫助他們盡快找到問題的根源,而且能優化他們的工作流程。那麼,我們如何才能從廣闊的網路中,在任何地方,在幾秒鐘內,精確地看到流量,深入挖掘並找到潛在的弱點 伺服器擁塞 埠使用情況等等?...