问题[pcap](server)

给定一个.pcap（或类似的）文件，我想选择一个 TCP 连接并将两个应用程序数据流（一个来自另一个对等方，一个两个来自另一个对等方）转储到磁盘上的两个单独文件中。

假设我有一个.pcap文件，除其他外，我知道它包含 HTTP/1.1 明文连接的完整 TCP 流（从 SYN 到最终 FIN+ACK/RST）。我想要两个包含内容的结果文件。IE。一个文件有

GET / HTTP/1.1\r\n
host: foobar.com\r\n
\r\n

另一个文件有

HTTP/1.1 200 ok\r\n
content-length: ...\r\n
... \r\n
\r\n
<html>...</html>

我希望这正是在用户空间中看到/发送的应用程序数据流量（来自read// recv`/...）write。send/我想要做的是转储一些流量并使用它来测试我的解析器是否有某个网络协议。解析器应该只能读取其中一个文件并尝试解析数据流。

这样的命令行工具怎么看？我不确定这是否超级有用，但我认为如果我还提供了一个可以执行此操作的虚构工具的使用示例，它可能会让我在寻找什么更清楚。让我们称之为虚构的工具（这就是我要找的）tcp-stream-extract。我想用类似的东西来称呼它

### imaginary usage example of the tool that I'd like to find :)

# dump from 12345 to 23456
tcp-stream-extract \
    -i my-captured-packets.pcap
    -s 127.0.0.1:12345        \ # source address 127.0.0.1:12345
    -d 127.0.0.1:23456        \ # destination address 127.0.0.1:23456
    -t '2021-01-28 09:12:00Z' \ # the TCP conn was alive at that time
    -w from-port-12345-to-port-23456

# dump from 23456 to 12345
tcp-stream-extract \
    -i my-captured-packets.pcap
    -s 127.0.0.1:23456        \ # source address 127.0.0.1:12345
    -d 127.0.0.1:12345        \ # destination address 127.0.0.1:23456
    -t '2021-01-28 09:12:00Z' \ # the TCP conn was at that time
    -w from-port-23456-to-port-12345

我想知道是否有一种方法可以拆分每个通道包含（仅）IRC 的 pcap。我正在尝试使用现有的 IDS（suricata、snort）比较通道中僵尸网络检测的准确性。如何检查检测到哪个 IRC 通道的唯一方法似乎是按 IRC 通道拆分 pcap 并尝试分别分析每个 pcap。有没有办法在tcpdump 或任何其他工具中做到这一点？

非常感谢！

我有一个包含 HTTP 请求的 pcap 文件（~2.3G）。我需要以某种方式提取每个请求的主体，以便进一步处理它。每个请求在其自己的文件中都可以正常工作，但我可以灵活处理。

我在 tshark 中发现了一些有希望的东西，因为这个命令几乎可以满足我的需要：

tshark -r capture.pcap --export-objects "http,data"

我得到一个文件夹，里面有一堆文件，每个文件都包含一个请求正文。

但是，它只输出前 1000 个请求。我怎样才能得到其余的请求？

我在 Python 中使用 dpkt，试图解码 PPPoE——程序运行良好，直到我注意到封装 IP 数据包中的偏移量始终为 0，即使数据包明显碎片化。

可以看出，服务器正在发送 1492 字节的数据包（我想是因为 PPPoE 封装），最后一个数据包是 1365。但是偏移量始终为 0 - 它不应该增加吗？

当然我怀疑我的程序，但我用 Wireshark 检查了相同的传输并得到了相同的结果。

我是否以错误的方式解释了这一点？

我想从 fortiet/fortigate 设备获取数据包捕获，以在其接口之一上捕获来自它的所有流量。为此，我启用了 sflow 并将其发送到另一个 ntopng 服务器。但是在 ntopng 上，我可以看到 sflow 数据，但是有什么方法可以将这些数据转换/转储为 pcap 格式？因为我需要 pcap 中的数据来分析它。

我可以将数据导出到 json，但是我们可以将 sflow 转换为 pcap 吗？

希望端口镜像网络防火墙接口，将该接口连接到 Linux 服务器，并让该 Linux 服务器不断运行 tcpdump 并将输出存储在文件中。

具体来说，我的要求是当文件的大小达到特定数量时，一遍又一遍地保存 pcap 文件。

例如：

瞻博网络防火墙端口 2 镜像端口 1 上的所有流量。端口 2 连接到 Linux 服务器上的 eth0。Linux 服务器有一个 tcpdump 进程在 eth0 上不断运行。Linux 服务器配置为将流量保存到名为“tcpdump.pcap”的文件中，但是当 pcap 文件超过特定大小时，它会压缩并重命名为“tcpdump.pcap.0.gz”。当第二个文件超过特定大小时，它将被重命名为“tcpdump.pcap.1.gz”等。

这将允许我查看过去 X 时间内的网络流量（目前，我希望在过去 72 小时内获得可见性）。

这里的问题是我不知道如何完成上述操作。具体来说，如何让 tcpdump 连续运行，并自动保存 pcaps，并按时间顺序自动压缩和重命名？

我有一个充满 pcap 文件的文件夹（包含许多子文件夹），我想获取所有包含符合特定条件的数据包的 pcap 文件，例如“有源 IP 1.1.1.1”。你知道做这种搜索的任何工具吗？

Windows 和 Ubuntu 我都需要这个

我正在尝试安装 pcapsipdump，但是当我尝试制作时出现以下错误。安装了 libpcab 和 libpcap-devel，这是我通过“yum install libpcap libpcap-devel”完成的。我目前坚持如何进一步调试，所以我正在伸出援手。谢谢

[root@master-server pcapsipdump-code]# make
make-checks/libpcap.cpp: In function ‘int main()’:
make-checks/libpcap.cpp:2: error: ‘pcap_set_snaplen’ was not declared in this scope

g++ make-checks/libpcap.cpp -lpcap -o make-checks/libpcap

===
Required library not found: pcap
Please install it in your distribution-specific manner, e.g.:
yum install libpcap libpcap-devel
apt-get install tcpdump libpcap-dev
cd ~ports/net/libpcap && make install
===
make: *** [make-checks/libpcap] Error 1

yum install libpcap libpcap-devel 的输出

Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* addons: mirrors.vooservers.com
* base: mirrors.vooservers.com
* extras: mirrors.vooservers.com
* updates: centos.hyve.com
Setting up Install Process
Package 14:libpcap-0.9.4-15.el5.i386 already installed and latest version
Package 14:libpcap-devel-0.9.4-15.el5.i386 already installed and latest version
Nothing to do

make debug 很长，但如果这有帮助，那么 end 在下面：

Considering target file `make-checks/all'.
File `make-checks/all' does not exist.
Considering target file `make-checks/cxx'.
Finished prerequisites of target file `make-checks/cxx'.
No need to remake target `make-checks/cxx'.
Considering target file `make-checks/libpcap'.
File `make-checks/libpcap' does not exist.
Finished prerequisites of target file `make-checks/libpcap'.
Must remake target `make-checks/libpcap'.
Putting child 0x09cec050 (make-checks/libpcap) PID 8162 on the chain.
Live child 0x09cec050 (make-checks/libpcap) PID 8162
make-checks/libpcap.cpp: In function ‘int main()’:
make-checks/libpcap.cpp:2: error: ‘pcap_set_snaplen’ was not declared in  this scope

我将 PCap 过滤器设置为“dst net 10.36.95.0 mask 255.255.255.0”。这样做的原因是它过滤掉了目的地在 10.36.95.0/24 子网之外的大多数流量，例外是它仍然捕获到 0.0.0.0 的流量。

知道为什么会发生这种情况，或者我还能做些什么来过滤掉 0.0.0.0 吗？

一些附加信息：

$ sudo tcpdump -d dst net 10.36.95.0 mask 255.255.255.0 -i eth0
(000) ldj      [12]
(001) jeq      #0x800           jt 2    jf 5
(002) ld       [30]
(003) and      #0xffffff00
(004) jeq      #0xa245f00       jt 10   jf 11
(005) jeq      #0x806           jt 7    jf 6
(006) jeq      #0x8035          jt 7    jf 11
(007) ld       [38]
(008) and      #0xffffff00      jt 10   jf 11
(009) jeq      #0xa245f00
(010) ret      #65535
(011) ret      #0 

是否可以根据简单的标准将 PCAPS 拆分为多个文件

Origional.pcap {split on port 80} 生成以下 2 个文件

• all_port_80.pcap
• Everything_else.pcap

或者创建多个符合我的标准的不同 tcpdump 会更容易吗

谢谢