J'essaie d'automatiser un processus manuel répétitif pour lequel j'utilise Wireshark:
1) Chargez un fichier PCAP donné
2) Appliquez un filtre simple pour un protocole donné < p> 3) Utilisez la boîte de dialogue Exporter pour exporter les paquets affichés sur le fichier CSV
4) Utilisez la boîte de dialogue Exporter pour exporter les paquets affichés dans le formulaire PDML XML.
Ceci est fastidieux et nécessite une implication humaine au milieu d'un processus qui est principalement automatisé (y compris l'analyse des fichiers pour produire des rapports).
existe un moyen d'automatiser Wireshark ou d'accéder en quelque sorte aux bibliothèques sous-jacentes utilisées pour l'exportation?
Mise à jour: comme plusieurs personnes ici indiquées, TSHARK s'avère être la voie à suivre.
La ligne de commande exacte que j'ai finie par l'aide est la suivante: i, puis j'utilise un analyseur XML basé sur l'événement (expatrié de Python) pour analyser le fichier 2GB généré >
3 Réponses :
Je n'ai jamais essayé d'automatiser WireShark avant, même si j'ai dû faire quelque chose de similaire à ce que vous décrivez. J'ai fini par réduire la poignée d'étapes humaines (et donc à l'erreur) jusqu'à une étape automatisée.
Autohotkey est ma solution pour de nombreuses tâches à base d'interface graphique répétitive. Vous pouvez très facilement écrire un script de lecture de Keystroke qui fera toutes les étapes ci-dessus. Vous devrez probablement l'accroître le nom de fichier pour vous automatiquement. Vous pouvez également avoir votre autre outil automatisé de lancer le script Autohotkey avec une touche de frappe.
Je pense que ce que vous devriez faire est de regarder à TSHARK. C'est la version de la ligne de commande Linux, qui permettra exactement ce que vous demandez (en supposant que vous en avez accès). Et bien sûr, cela suppose qu'il est acceptable d'exécuter TSHARK, puis de passer en revue les sorties manuellement.
Drôle que j'ai eu un bowvote à ce sujet, étant donné qu'il est à peu près identique à la réponse acceptée et il a été posté 10 minutes avant la réponse acceptée. Étrange.
J'ai regardé à la liste de dépendance de Wireshark sur mon système Debian et j'ai trouvé Tshark : C'est la version de ligne de commande de Wireshark.
Cela semble intéressant, mais je n'ai pas encore lu le manuel, mais c'est sûr plus de script convivial.
aussi je resterai à l'écoute sur ce fil et postez plus d'informations lorsque je vais commencer à l'utiliser.
Ok, c'est génial. Vous pouvez extraire le champ souhaité et fournir un filtrage de filtrage PCAP et un filtrage d'affichage Wireshark. La sortie est poussée sur le stdout, vous pouvez donc facilement le scripter.