使用tcpdump将目录中pcap文件变成可读txt文件

最新推荐文章于 2024-04-17 18:49:13 发布
最新推荐文章于 2024-04-17 18:49:13 发布
阅读量1.2k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangzhicheng1983/article/details/107448104
本文介绍了一款使用bash脚本实现的自动化工具,该工具可以遍历指定目录下的所有pcap文件,并将它们转换成txt格式,方便进一步的数据分析和处理。脚本跳过了目录和特定的脚本文件,确保了转换过程的准确性和效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#!/bin/bash
function tcpdump_show(){
    for file in `ls $1`
    do
        if [ -d $1"/"$file ]
        then continue
        else
            if [ $file == "test.sh" ]   #脚本名称为test.sh 与pcap放于同一目录
            then continue
            else
                name=$file
                txt=${name%.*}
                tcpdump -r $name > $txt.txt
            fi
        fi
    done
}
DIR="./"
tcpdump_show $DIR

 

pcap数据包的packet转文本的几种方法
村中少年的专栏
02-25 1136
本文将介绍一下通过手动和自动化的方法将pcap数据包的packet导出为hex dump,json这两种形式。
python版pcaptxt工具
11-01
分析网络协议时会用到pcap文件,但是使用其他的工具无法做到信息汇总,或者只看到其中关心的消息 这个工具可以将pcap文件的中的关键信息解析出来 格式如下 源IP 目标IP 源端口 目标端口 协议类型 时间 包大小格式化以后输出出来 一共输出两个文件 一个txt文件 一个sql文件,方便存入到数据库中 源IP: 111.10.121.157 目标IP:123.123.123.123 协议类型:ICMP 时间:2018-10-21 13:56:45 包大小:74 源IP: 111.10.121.157 目标IP:123.123.123.123 协议类型:ICMP 时间:2018-10-21 13:56:47 包大小:74 源IP: 10.19.255.7 目标IP:123.123.123.123 协议类型:TCP 源端口:80 目标端口 :54954 时间:2018-10-21 13:56:47 包大小:54 源IP: 10.19.255.7 目标IP:123.123.123.123 协议类型:TCP 源端口:80 目标端口 :54956 时间:2018-10-21 13:56:47 包大小:74 源IP: 10.19.255.7 目标IP:123.123.123.123 协议类型:TCP 源端口:80 目标端口 :54956 时间:2018-10-21 13:56:47 包大小:66 源IP: 10.19.255.7 目标IP:123.123.123.123 协议类型:TCP 源端口:80 目标端口 :54956 时间:2018-10-21 13:56:47 包大小:312
pcap文件以十六进制输出到txt
qq_44650089的博客
12-14 3114
import struct import datetime fpcap = open('demo.pcap', 'rb') ftxt = open('test.txt', 'w') string_data = fpcap.read() packet_num = 0 packet_data = [] packet_time = [] pcap_packet_header = {} i = 24 while(i < len(string_data)): packet_time.append.
将抓到的pcap文件中Http包转换为可读txt格式
VirusCode2016的博客
07-17 1590
编写思路:     1.首先将要读取、写入信息的两个文件分别进行打开,接下来先进行文件读操作,获得指向该文件头的指针fp     2.从文件中读取pcap文件头大小的信息存储在pcap_head_buf里,再将偏移偏移量offset设置为pcap头之后     3.将文件pkt(数据报)头信息存储在pkt_head_buf里,将偏移量置offset设置到pkt头+pkt数据之后,即...
使用Wireshark提取pcap文件的原始16进制编码数据包到text
热门推荐
Dlzjx的博客
03-07 1万+
做一个记录 想要实现的功能就是把 pcap 文件的原始16进制编码数据包转换为到txt文档中,只要这些数据做深度学习,花了点时间学习wireshark的命令行操作。 实现命令行如下: 1.以管理员的身份打开cmd,进入到wireshark的文件夹 2.完整代码:tshark -T text -x -r D:\111.pcap > D:\111.txt 3.参考的是: 4.转换后的txt文档内容格式如下: 5.由于不想要前面的标签和空格和后面的ASCII码,遂又写了个简短的..
Tcpdump -r 解析pcap文件
qq_45212655的博客
04-17 2108
当你使用 tcpdump 的 -r 选项读取一个之前捕获的数据包文件,并想要筛选指定 IP 地址和端口的包时,你可以在命令中直接加入过滤表达式。这个命令将显示文件中所有 TCP 协议、源或目标 IP 地址为 192.168.1.100 并且源或目标端口为 80 的数据包。这个命令将显示文件中所有源或目标 IP 地址在 192.168.1.0/24 网络范围内并且源或目标端口为 80 的数据包。这个命令将显示文件中所有源或目标 IP 地址为 192.168.1.100 并且源或目标端口为 80 的数据包。
使用Python来分离或者直接抓取pcap抓包文件中的HTTP流
gdfhhj的博客
11-07 1684
使用Python来分离或者直接抓取pcap抓包文件中的HTTP流
tcpdump详解&实战
my的博客
05-03 2320
作为程序员,网路问题经常遇到,熟悉抓包工具,会使我们排查网络问题时候,事半功倍! 由于抓包我们经常还会查看设备以及端口的一些信息,所以我们先介绍下netstat工具 netstat工具简介和使用 netstat是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、网络连接以及每一个网络接口设备的状态信息。netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据...
ns3之PCAP tracing文件命名格式
海阔天空sky的博客
06-12 2557
在ns3变成过程中启用了PCAP Tracing,可是发现节点多了,接口多了,生PCAP文件一大堆,到底哪个PCAP文件对应哪个节点的哪个借口呢?我们需要了解一下ns3中*.pcap文件的命名格式。 1、启用PCAP Tracing的方法 假如我们使用的节点链路都是p2p链路,在脚本Simulator::Run()之前添加语句: PointToPointHelper::EnablePca
Reader读取TcpDump读取的Pcap
04-07
NULL 博文链接:https://taijuk.iteye.com/blog/1583901
解析抓包软件中tcp包装的数据并转换为txt文本
12-16
关键词:Wireshark、ethereal、WinPcap、TCP、网络、抓包、免费软件 modubs、101,104,103, 功能: 处理抓包软件抓包保存的文件,过滤并仅取出tcp包装的数据,保存到txt文件使用网络抓包软件,抓包后,保存文件xxx.pcap使用本软件,可以将xxx.pcap文件中tcp包装的数据解析到txt文件中; 使用场景:
cap包转ts流工具
10-18
支持TCP和UDP两种方式。能够把cap包的内容转换TS流。
CAP文件格式
12-07
CAP文件格式CAP文件格式CAP文件CAP文件格式格式
tcpdump抓包
02-17
android 手机抓包,非常给力,你懂的!
HTTP请求和响应转换为pcap数据包
村中少年的专栏
01-24 1445
介绍HTTP请求和响应转换为pcap数据包方法,并据此定制化自己需求
用matlab读pcap文件,pcap邮件读取并写入txt
weixin_30479921的博客
03-23 690
#coding=utf-8import stringimport urllibimport jsonfrom scapy.all import *import rereadfile =input("请输入需要分析的文件名:")mail_port=input("请输入您要解析的邮件类型(IMAP输入143,SMTP输入25,POP3输入110):")savefile=input("请输入您要保存的文...
linux tcpdump如何抓包pcap包,tcpdump的基本用法--如何打开tcpdump的抓包文件
weixin_39567013的博客
05-16 2672
这篇文章只涉及tcpdump的基本用法,请记住tcpdump比我描述的强大的多。针对网络接口、端口和协议的数据包截取。假定你要截取网络接口eth1,端口号6881的tcp数据包。数据文件保存为test.pcaptcpdump -w test.pcap -i eth1 tcp port 6881很简单吧?如果要同时截取udp端口号33210和33220的数据包呢?tcpdump -w test.p...
pcap文件中提取文本文件
qq_28808697的博客
07-27 1608
1、 #strings命令在对象文件或二进制文件中查找可打印的字符串。 strings output.txt >> output1.txt 其中 output.txt 是包含可打印字符串的pcap文件 2、从 output1.txt中查找包含start(忽略大小写)的行,使用uniq命令删除重复的行,然后写入到文件 transmitted.txt grep -i start output1.txt | uniq >> transmitted.txt 3、将transm.
使用Http传输文件过程中,通过request传上去之后再下载下来和之前的不一样,例如上传一个5.65GB大小的.tgz文件,下载下来后为7.36GB大小,请问可能的原因有哪些?
最新发布
03-18
<think>好的,用户上传了一个5.65GB的.tgz文件,下载后变成了7.36GB,大小不一致。我需要分析可能的原因。首先,用户可能是在使用HTTP协议传输文件时出现了问题。首先想到的是传输过程中数据被篡改,但这种情况比较少见,可能更多是编码或压缩问题。 接下来,要考虑传输过程中是否有中间处理环节。比如服务器端有没有自动解压再压缩?比如.tgz文件上传后,服务器可能自动解压然后重新打包,导致文件结构变化,或者使用了不同的压缩算法,导致文件大小不同。比如gzip和不同的压缩级别会影响大小。 然后是分块传输编码的问题。HTTP可能会使用分块传输,如果客户端或服务器端在处理分块时出错,可能导致数据重复或截断,从而改变文件大小。另外,字符编码问题,比如文本文件在传输时被错误地转换,比如ASCII到UTF-8,但.tgz是二进制文件,这种情况可能性较小,但如果是某些服务器配置错误,可能会错误地处理二进制数据,导致损坏。 还有可能是在上传或下载过程中使用了文本模式而非二进制模式,导致换行符被转换,比如LF和CRLF的问题,这样二进制文件会被修改,进而改变大小。特别是如果使用某些工具或库时,默认使用文本模式传输,会导致问题。 另外,存储系统的问题,比如磁盘满导致文件截断,或者文件系统错误,但这种情况通常会导致文件更小,而用户下载后的文件反而更大,可能不太符合。不过如果是服务器存储时出错,比如写入错误,导致文件出现冗余数据,也有可能变大。 还有可能是客户端或服务器端的缓存问题,上传或下载时缓存了旧文件,导致版本不一致。或者CDN缓存了旧版本,下载时获取了错误的文件。不过这种情况文件大小可能不变,但内容不同,但用户这里大小变化明显,可能不是主要原因。 另外,考虑压缩和解压缩的问题,比如上传的.tgz文件在服务器端被错误地解压和重新压缩,可能添加了额外文件,或者目录结构变化,导致重新打包后的文件变大。比如原文件可能有重复数据,或者压缩时使用了不同的参数,如压缩率低导致文件变大。 还有可能是传输过程中的数据损坏,比如网络错误导致部分数据重复传输,或者丢包导致数据错误,但通常校验和会失败,用户可能无法功解压,但这里用户只提到大小变化,可能没有尝试解压。不过,文件大小变化也可能是损坏的表现。 其他可能性包括客户端或服务器端的软件bug,比如上传下载工具存在缺陷,错误地处理大文件,导致数据重复或填充。例如,某些工具在处理超过特定大小的文件时,可能会有整数溢出或其他错误,导致文件大小异常。 需要进一步询问用户具体情况,比如使用的具体工具、服务器配置、传输过程中是否有日志或错误信息,下载后的文件是否能正常解压,MD5校验是否一致等。但根据现有信息,可能的主要原因包括:服务器端处理(解压/再压缩)、传输模式错误(文本vs二进制)、分块编码错误、压缩参数不一致、数据损坏或软件bug。</think>以下是HTTP文件传输过程中文件大小发生变化的常见原因分析,按优先级排序: --- ### **一、传输编码与压缩机制干扰(高概率)** 1. **分块传输编码(Chunked Encoding)异常** - 现象:服务器启用`Transfer-Encoding: chunked`时,若客户端未正确解析分块边界,会导致数据重复拼接或截断。 - 验证:对比原始文件与下载文件的`Content-Length`响应头是否一致。 2. **内容压缩(Gzip/Brotli)二次处理** - 场景:服务器或CDN强制对二进制文件(如.tgz)进行压缩再解压,破坏原始编码结构。 - 检查点: ```http // 请求头检查 Accept-Encoding: gzip, deflate, br // 响应头检查 Content-Encoding: gzip ``` --- ### **二、文件存储环节异常(中等概率)** | 阶段 | 典型问题 | |-------------|--------------------------------------------------------------------------| | **上传存储** | 服务器存储系统自动解压.tgz文件(如配置了`mod_autoindex`错误处理) | | **下载生** | 服务器脚本误将目录重新打包(如`tar -czvf`参数不一致导致压缩率变化) | | **缓存污染** | 反向代理/CDN缓存了历史版本文件(可通过添加随机参数`?v=timestamp`规避) | --- ### **三、二进制与文本模式混用(常见于旧系统)** - **FTP模式迁移问题**: HTTP库错误地将二进制文件以文本模式传输,导致换行符转换(`LF` ↔ `CRLF`)。 - **表现**: 文件每行末尾增加`0x0D`字节,整体体积膨胀约0.1%-2%(但7.36GB/5.65GB≈1.3倍需其他因素叠加)。 --- ### **四、数据完整性校验缺失** 1. **未使用校验机制** - 关键缺陷:依赖HTTP状态码而非哈希校验(如SHA-256)。 - 改进方案: ```bash # 生校验码 openssl sha256 original_file.tgz # 下载后验证 openssl sha256 downloaded_file.tgz ``` 2. **网络层数据损坏** - 典型特征:TCP重传机制通常能避免此问题,但UDP传输或MTU不匹配时可能发生。 --- ### **五、特殊场景分析** #### **案例:5.65GB → 7.36GB的可能路径** ```mermaid flowchart TD A[原始.tgz文件] -->|上传| B{HTTP服务器} B -->|错误触发| C[自动解压tar.gz] C -->|调用系统tar命令| D[重新打包为tar] D -->|未压缩直接下载| E[7.36GB tar文件] ``` --- ### **六、诊断与修复步骤** 1. **基础验证** ```bash # 检查文件类型 file original_file.tgz # 应显示 "gzip compressed data" file downloaded_file.tgz # 验证是否变为普通数据文件 # 对比哈希值 md5sum original_file.tgz downloaded_file.tgz ``` 2. **网络流量抓包分析** ```bash tcpdump -i eth0 -w capture.pcap port 80 # 使用Wireshark检查传输内容是否包含非原始数据 ``` 3. **服务器端日志检查** - 查看Nginx/Apache的`access.log`和`error.log`,定位是否触发`mod_rewrite`等模块的异常处理。 --- ### **七、防御性编程建议** ```nginx # Nginx配置示例(禁止对二进制文件压缩) location ~ \.tgz$ { gzip off; chunked_transfer_encoding off; proxy_set_header Accept-Encoding ""; } ``` 建议优先使用**断点续传协议**(如WebDAV)或**专用文件传输协议**(如SFTP)替代纯HTTP传输大文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值