paquete de análisis famosa PacketCapture herramienta de línea de comando en el terminal Wireshark formar --tshark, además de una interfaz gráfica interactiva, siempre con la función de Wireshark, que tiene.
comando de instalación de Linux:
sudo apt-get install tshark
Después de la apertura en el terminal, sin ninguna entrada directa parámetros de control TShark comando, se recupere automáticamente los paquetes, la información de paquetes en el terminal de uno por uno presentación, extremos Ctrl + c proceso de captura.
Utilice tshark capturar tráfico de red
tshark -w ~/Desktop/test.pcap -c 10
Lograr la línea de comandos anterior traiga el tráfico de red de paquetes, los primeros 10 paquetes capturados y almacenados en un archivo llamado test.pcap en / home / Mumu / ruta de escritorio, una primera interfaz de red por defecto (consulte uso tsark -D todas las interfaces de red disponibles)
a la información del paquete de contenido almacenado obtenido por el control de parámetro ciertas propiedades, tales como: la extracción de un número de cuadro, marco de tiempo relativo, dirección IP de origen, dirección IP de destino, paquete de protocolo, y el tráfico de red de la red capturados previamente longitud del paquete, escriba el comando:
tshark -r login.tcpdump -T fields -e frame.number -eframe.time_relative -e ip.src -e ip.dst -e
frame.protocols -e frame.len -E header=y -E quote=n -E occurrence=f
cabecera -E = y cabecera de opciones de comando tshark a la línea de salida. quote = n datos -E TShark predeterminada no incluye citas, y la aparición -E = F instrucciones TShark utilizando una primera ocurrencia de una pluralidad de campos de la ocurrencia.
salida:
frame.number frame.time_relative ip.src frame.protocols frame.len
1 0.000000000 192.168.0.106 eth:ethertype:ip:tcp 74
2 4.600294664 192.168.0.1 eth:ethertype:ip:udp:data 147
3 4.600846088 192.168.0.1 eth:ethertype:ip:udp:ssdp 303
4 4.601003537 192.168.0.1 eth:ethertype:ip:udp:ssdp 312
5 4.601231011 192.168.0.1 eth:ethertype:ip:udp:ssdp 375
6 4.601380060 192.168.0.1 eth:ethertype:ip:udp:ssdp 312
7 4.601607844 192.168.0.1 eth:ethertype:ip:udp:ssdp 351
8 4.601773182 192.168.0.1 eth:ethertype:ip:udp:ssdp 312
9 4.601954529 192.168.0.1 eth:ethertype:ip:udp:ssdp 371
10 4.602168547 192.168.0.1 eth:ethertype:ip:udp:ssdp 367
El siguiente código de la aplicación de la información de paquete almacenado, analizar la eficacia de su ip texto del código de direcciones denominado checkIP.py
import socket
import sys
import re
def valid_ip(address):
try:
# 将点分十进制字符串数据转换为二进制字符串
socket.inet_aton(address)
return True
except:
return False
total = 0
valid = 0
invalid = 0
for line in sys.stdin:
total = total + 1
line = line.rstrip('\n')
if valid_ip(line):
valid = valid + 1
else:
invalid = invalid + 1
#显示已检查的IP地址总数
print("Total number of IPs checked:",total)
print("Valid IPs found:",valid)
print("Invalid IPs found:",invalid)
Tipo de terminal el comando:
tshark -r ~/networkData.pcap -T fields -e ip.src | python checkIP.py
Los resultados finales mostraron que:
Total number of IPs checked: 10
Valid IPs found: 8
Invalid IPs found: 2