こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

tcpdumpで保存したlibcap形式のログについて

tcpdumpで保存したlibcap形式のログについて

libcap形式のログからTCPの同一セッション中のパケット列を取り出したいと思っています。いちいちwireshakrkなどのパケットキャプチャで取り出すのには膨大な時間がかかり、現実的ではありません。
どなたかよい方法をご存じではありませんか?

投稿日時 - 2010-09-14 11:31:34

QNo.6181583

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

4人が「このQ&Aが役に立った」と投票しています

回答(1)

「同一セッション」というのが、tcpdump の条件式で指定できるレベルのもの(たとえば、IPアドレスやTCPポート番号) であれば、tcpdump で抽出できます。

たとえば、source.pcap から、IPアドレス192.168.0.1が送受信するTCPパケットだけを取り出して one_session.pcap に出力するには、次のようにします。WiresharkのGUIでやるよりは速いでしょう。

 tcpdump -r source.pcap -w one_session.pcap tcp and host 192.168.0.1

参考URL:http://www.linux.or.jp/JM/html/tcpdump/man1/tcpdump.1.html

投稿日時 - 2010-09-18 01:47:41

あなたにオススメの質問