最近，需要將wireshark監(jiān)聽(tīng)的數(shù)據(jù)進(jìn)行提取，分兩步：首先，應(yīng)該得出wireshark的數(shù)據(jù)包吧，在圖形化界面中可以非常直觀的將監(jiān)聽(tīng)數(shù)據(jù)進(jìn)行存儲(chǔ)，但是這樣需要手動(dòng)操作非常麻煩，而且容易出錯(cuò)(隨著處理數(shù)據(jù)包的數(shù)量增加，圖形化可能吃不消，以前就遇見(jiàn)過(guò))，在linux下，采用了tshark命令，tshark就是wireshark圖形界面命令行化，命令如下：

sudo tshark -f "udp port 1243" -i eth0 (-w)> /tmp/capture.cap

對(duì)上面的命令進(jìn)行解釋："udp port 1243"，雙引號(hào)內(nèi)的東西就是對(duì)需要監(jiān)聽(tīng)的內(nèi)容進(jìn)行一個(gè)篩選，也就是端口號(hào)為1243的udp數(shù)據(jù)包，-i后面就是需要監(jiān)聽(tīng)的接口，接口后面的(-w)和(>)兩個(gè)選項(xiàng)，表示需要存儲(chǔ)文件的格式，-w存儲(chǔ)的可能是二進(jìn)制文件，例如，使用-w的話，那么這行命令執(zhí)行以后capture.cap就是二進(jìn)制的文件，那么使用>以后，則保存的文本文件，當(dāng)然，現(xiàn)在需要的是純文本文件，最后則是文件需要保存的路徑以及名稱。

第一步完成以后，則需要從數(shù)據(jù)中提取出來(lái)需要的數(shù)據(jù)，比如時(shí)間，源、目的地址等有用信息，我們采用如下命令：

sudo cat /tmp/capture.cap | awk'{print $1"\t" $2"\t" $3}' > /tmp/capture.txt

此時(shí)cat的任務(wù)就是將需要被提取的文件展現(xiàn)出來(lái)，通過(guò)管道，將輸出內(nèi)容作為awk命令的輸入，awk是一個(gè)非常好的數(shù)據(jù)處理工具。具體見(jiàn)鳥(niǎo)哥的私房菜基礎(chǔ)篇363頁(yè)！，同樣的輸出為純文本格式文件capture.txt，完成了上述的工作，我想放入同一個(gè)腳本就能非常輕松的調(diào)用而且不用出錯(cuò)，將上述兩行命令輸入一個(gè)腳本中，但是我發(fā)現(xiàn)無(wú)法出來(lái)capture.txt文件，后來(lái)發(fā)現(xiàn)自己SB了，腳本是一行一行執(zhí)行，第一行是一直執(zhí)行的，根本執(zhí)行不到第二行來(lái)，后來(lái)在第一行后面加上&，讓其進(jìn)行后臺(tái)運(yùn)行，capture.txt，倒是可以出來(lái)但是內(nèi)容為空白，因?yàn)樵撐募H僅在上面文件創(chuàng)建了就開(kāi)始抓取自己的內(nèi)容，當(dāng)然什么也沒(méi)有。

后來(lái)我想，我要的只是最后經(jīng)過(guò)調(diào)整的數(shù)據(jù)，不需要中間數(shù)據(jù)啊，為什么不直接一條命令進(jìn)行提取不就完了，于是將兩個(gè)命令融合如下：

sudo tshark -f "udp port 1243" -i eth0 |awk '{print $1 "\t" $2 "\t" $3}' > /tmp/capture.txt

總結(jié)

以上是生活随笔為你收集整理的wireshark提取流量包中的文件_从Wireshark监听的数据中提取需要的数据的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。