tshark -e 后可以接哪些特征数据名

最新推荐文章于 2023-08-24 00:20:44 发布
最新推荐文章于 2023-08-24 00:20:44 发布
阅读量3.2k 收藏 47
点赞数 8
分类专栏: 日常随笔 入侵检测 文章标签: 机器学习 大数据 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qiuchi1975/article/details/106149854
版权

最近在使用tshark的时候,想要通过- e 参数来指定输出到文件的特征。

但是tshark的官方文档并没有详细说明 -e 后面可以使用哪些 特征。

只是简单的举了几个例子,如tco.sport 等等。
在这里插入图片描述

博主原来是想利用 tshark 将 pcap 数据包转换成 csv 文件用来做机器学习的,但使用 -e 命令筛选想要的特证的时候却遇到了问题。

我并不知道我可以输出哪些特征,而且参数命令的特征缩写与wireshark中所看到的并不一样。

我也是在网上翻来覆去看了看了好多文章,并没有一篇有相关的介绍。

后来我在测试的时候,无意中发现将pcap转换成json文件,打开后竟然可以直接看到这些特证名!

具体命令如下:

tshark.exe -T json -r D:\test.pcap > test.json

test.pcap就是你要转换的pcap数据包路径名称

test.json就是要输出的文件名,执行后会在当前文件夹生成一个test.json文件。

打开这个json包就能看到所有的特证名了!
在这里插入图片描述

在这里插入图片描述
至于如何通过tshark将pcap数据包转换成csv文件可以参考博主另一篇文章

将PCAP转换为Json文件的神器:joy(安装篇)
herosunly的博客
06-27 1万+
 joy是一个捕获数据包、分析网络流量数据、网络研究取证及安全监控的工具。能够解析pcap包,生成json文件,里面包含了多种网络流量特征,方便对其进行分析。目前最新版本为4.5.0。 文章目录 1. 安装难点 2. 搜索文件 3. 使用正则表达式批量替换文件 4. 安装...
tshark----wireshark的命令行工具
耿小渣的进阶之路
03-06 1万+
tshark - 转储和分析网络流概要tshark的 [  -2  ] [  -a  <捕捉自动停止条件>] ... [  -b  <捕捉环形缓冲区选项>] ... [  -B  <捕获缓冲区大小>] [  -c  <捕获分组计数>] [  - ?  <配置文件>] [  -d  <层型> == <选择>,&amp
关于tshark中参数-e与-Tfields之间的领域字段查询
weixin_41951213的博客
11-11 2617
博客主要讲述tshark工具中的参数-e与-Tfields之间的领域字段如何寻找
tshark命令基本用法
hanyuyy的博客
06-27 3650
tshark -Y "http.request.method == GET:仅显示HTTP请求方法为GET的数据包。-T <output_format>:指定输出格式,将分析结果以不同的格式输出。你可以通过运行"tshark --help"来获取完整的帮助信息,其中包含了所有可用选项和命令的详细说明。例如,-i eth0表示使用eth0口进行捕获,-i any表示捕获所有可用口上的数据包。-w <filename>:将捕获到的数据包写入指定的文件中。-V:显示详细的数据包信息,包括各个协议的字段和值。
tshark一些常用命令参数解析
nuisthou的博客
09-10 7014
https://www.wireshark.org/docs/man-pages/tshark.html官方阅读文档; 捕获口:   -i: -i <interface> 指定捕获口,默认是第一个非本地循环口;   -f: -f <capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。 ...
wireshark 之 tshark常规用法
编程随手记
02-11 3552
文章目录tshark常用的命令行参数例子获取抓取设备口抓取设备上的数据包(单一设备, 多设备, 所有设备)配置抓取过滤器(capture filter)抓取数据包的详细数据抓取的数据包写入到文件中配置显示过滤器分析抓取到的数据包文件(-R, -2, -Y的用法及区别)导出json格式到文件中, 方便后续分析 tshark是命令行式的wireshark tshark常用的命令行参数 参数 描述 -D 获取设备列表 -i 抓取的设备口idx -f “${capture filt
tshark简单使用-wireshark
tianzhu123的专栏
03-26 1万+
Ethereal是一个很流行的开源sniffer,支持包括solaris在内的很多平台。2006年初,主导Ethereal源码的大牛GeraldCombs跳槽到了CACE公司。原来“Ethereal”的商标就不能用了。伟大的开源项目如果因此而over,不免同好者唏嘘。怎么办?Combs等人只得舍弃人气既旺的Ethereal号,将项目更为Wireshark。它吸引了大多数原来Ethereal的c
tshark使用记录
pfm685757的专栏
03-08 1455
https://segmentfault.com/a/1190000018886363 https://segmentfault.com/a/1190000018886731 Tshark 详细参数参见tshark的manpage。 // 列出可监听流量的网络口列表。tshark使用1,2,...等数字来标识eth0,eth1... # tshark -D //监听口eth0上的UDP端...
java调用tshark_libtshark-core
weixin_33829335的博客
02-16 1156
目录简介和展示libtshark-core是Java开发的报文分析引擎,支持离线报文解析和在线实时解析,可长时间稳定运行。分析效果如下图所示:libtshark-core基于tshark模块开发,支持两千多种协议的深度解析,支持lua脚本,C语言扩展,可自定义协议。tshark简介和使用简介Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽...
tshark的抓包和解析,使用命令行案例
lepton126的专栏
11-04 1665
https://www.cnblogs.com/classics/p/10417419.html a、解析dhcp抓包文件 -r 读抓好的数据包文件 tshark -r 数据包路径 -Y 过滤条件基本上可以运用 wirshark上的过滤条件 查找中继后dhcp discover src ip 报文 tshark-r E:\testpacket\testdhcp.pcapng -...
初次使用tshark小结
canoe1234的博客
02-16 3132
tshark命令行工具 1.打开cmd 2.进入wireshark安装目录 3.输入tshark -D 开始使用tshark命令行工具 例子,把各协议的data数据部分保存到CSV文件当中 -r 指定要分析的.pcap文件 -T fields 说明要对.pcap文件重的fields进行提取 -e filed_name 制定要提取的fields的字,按照-e的先后顺序,不同的f...
wireshark-tshark 命令详解
04-02
wireshark - tshark 命令详细介绍,Ethereal是一个很流行的开源sniffer,支持包括solaris在内的很多平台。2006年初,主导Ethereal源码的大牛Gerald Combs跳槽到了CACE公司。原来“Ethereal”的商标就不能用了。伟大的开源项目如果因此而over,不免同好者唏嘘。怎么办?Combs等人只得舍弃人气既旺的Ethereal号,将项目更为Wireshark。它吸引了大多数原来Ethereal的contributor,从Ethereal的fork点0.99.1开始,继续添加无数令人兴奋的新功能。这个互联网的放大镜,展现给了我们一个生动却又枯燥,温馨伴着冷漠,充满智慧的流量和阴谋的机关,不舍虚构而又看似真实的“以太”世界。
tcpdump抓包及tshark解包方法介绍
测试开发小记
02-01 2731
tshark是wireshark的命令行工具,通过shell命令抓取、解析报文。tcpdump是Linux系统下的抓包工具。wireshark和tcpdump都共同使用 libpcap作为其底层抓包的库,tshark也可以抓取报文。 有时候需要在linux系统或者ARM开发板中进行抓包,使用tcpdump抓包更加方便,在这种场景下,一般使用tcpdump进行抓包,然后在Windows中使用wireshark来分析生成的包文件,在自动化分析或者自动化测试中,可以使用tshark来进行包解析。本文介绍使用tcp
Wireshark命令行工具tshark使用小记
zztoll的专栏
02-08 3623
原文地址:http://www.cnblogs.com/liun1994/p/6142505.html Wireshark命令行工具tshark使用小记 1、目的   写这篇博客的目的主要是为了方便查阅,使用wireshark可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析;但我的需求是,怎么样把Data部分导出来,因为后续的工作主要针对数据包的Dat
网络报文分析工具Tshark轻松掌握
共同学习、强我国家
08-24 4666
tshark作为Wireshark的配套子命令,在CLI场景下能胜任Wireshark绝大部分功能,对于需要批量处理、筛选过滤、导出、统计分析、定制化输出等能力。当然,tshark同时具备抓包和分析包的能力,简单理解为tshark是wireshark的CLI版本,但Linux端抓包基本上业界都会使用tcpdump,并且它基本能覆盖抓包的所有场景,如果想要了解tcpdump的用法,可以参照笔者总结的这篇文章。
tshark命令小结
热门推荐
xanxus46的专栏
02-23 3万+
基本语法:tshark [ -a autostop condition> ] ... [ -b ring buffer option>] ... [ -B buffer size (Win32 only)> ]  [ -c packet count> ] [ -d type>==,protocol> ] [ -D ] [ -f filter> ] [ -F format> ] [ -h ]
tshark的抓包和解析
weixin_30807779的博客
02-22 843
1、 a、解析dhcp抓包文件 -r 读抓好的数据包文件 tshark -r 数据包路径 -Y 过滤条件基本上可以运用 wirshark上的过滤条件 查找中继后dhcp discover src ip 报文 tshark-r E:\testpacket\testdhcp.pcapng -Y "bootp && ip.sr...
tshark 使用说明
weixin_30951389的博客
12-07 399
yum install -y wireshark 最近才发现,原来wireshark也提供有Linux命令行工具-tsharktshark不仅有抓包的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。 tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e m...
tshark导出数据
最新发布
03-28
<think>好的,我现在需要帮助用户解决如何使用tshark导出数据的问题。首先,我需要仔细阅读用户的查询内容,确保理解他的需求。用户提到了几个引用来源,特别是关于Wireshark和tshark的命令行工具的使用。用户希望知道具体的命令参数和配置方法,所以需要提供详细的步骤和示例。 首先,我应该回忆tshark的基本用法,导出数据通常涉及捕获或读取已有的数据包文件,然后提取特定部分。根据引用[2]和[3],tshark是Wireshark的命令行版本,可以通过参数配置来实现各种功能。用户可能想从数据包中提取文件、特定字段或统计数据下来,我需要确定用户具体想导出什么类型的数据。比如,导出文件的话,可能需要使用导出HTTP对象的功能,如引用[1]提到的导出数据包中的文件。如果是导出特定协议的字段,可能需要使用-T fields选项。不同的导出需求对应不同的命令参数,所以需要分情况说明。 然后,考虑用户可能的常见需求,比如导出HTTP传输的文件、提取特定协议的字段、保存为特定格式(如JSON、CSV)、或者统计信息。每个情况给出对应的命令示例,并解释参数的含义,这样用户能根据自身情况调整命令。 还需要注意,用户可能需要知道如何读取已有的pcap文件,或者实时捕获数据包。因此,命令中应该包含-r参数用于读取文件,或者-i指定网卡进行捕获。同时,引用[3]提到可以通过-o调整首选项,这点可能在需要修改默认配置时有用,比如调整解析方式。 另外,要确保命令语法正确,参数使用恰当。例如,导出HTTP对象使用--export-object,指定协议和保存路径;导出字段时使用-T fields和-e指定字段。对于JSON输出,可能需要配合-E参数调整格式选项。 最后,应该提醒用户参考官方文档(如引用[2]提供的链)以获取更详细的参数说明,同时建议他们在复杂情况下结合多个参数使用。检查是否有遗漏的情况,比如统计信息或其他导出格式,确保覆盖用户可能的需求。</think>以下是使用tshark导出数据的详细方法及参数说明: ### 一、基础命令结构 tshark导出数据的基本命令格式为: ``` tshark -r <输入文件> [过滤条件] -Y <显示过滤器> -T <输出格式> [参数] -w <输出文件> ``` ### 二、常见导出场景 #### 1. 导出HTTP传输的文件 使用`--export-object`参数提取HTTP对象: ```bash tshark -r input.pcapng --export-object http,./output_folder/ ``` 该命令会从HTTP流量中提取文件到指定目录[^1] #### 2. 导出特定协议字段 以CSV格式导出HTTP请求的URL和User-Agent: ```bash tshark -r input.pcap -Y http -T fields -e http.host -e http.user_agent -E separator=, > output.csv ``` 参数说明: - `-T fields` 指定字段输出模式 - `-e` 选择要导出的字段 - `-E` 设置格式选项[^3] #### 3. 导出JSON格式数据 ```bash tshark -r input.pcap -T json --no-duplicate-keys > output.json ``` 可通过`-x`参数添加十六进制数据 #### 4. 导出统计信息 导出流量排前10的IP: ```bash tshark -r input.pcap -q -z endpoints,ip ``` ### 三、高级配置 1. **指定解析方式**: ```bash tshark -o "uat:user_dlts:\"User 0\",\"\",\"0\",\"\",\"0\",\"\"" ``` 2. **自定义协议解析**: ```bash tshark -o lua.script:custom_dissector.lua ``` ### 四、实时捕获导出 捕获eth0网卡流量并保存: ```bash tshark -i eth0 -f "tcp port 80" -w live_capture.pcap ```
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值