BoanHack

참조 : http://www.wireshark.org/docs/man-pages/tshark.html TSHARK(1) The Wireshark Network Analyzer TSHARK(1) NAME tshark - Dump and analyze network traffic SYNOPSIS tshark [ -a ] ... [ -b ] ... [ -B ] [ -c ] [ -C ] [ -d ==, ] [ -D ] [ -e ] [ -E ] [ -f ] [ -F ] [ -h ] [ -H ] [ -i |- ] [ -I ] [ -K ] [ -l ] [ -L ] [ -n ] [ -N ] [ -o ] ... [ -p ] [ -q ] [ -r ] [ -R ] [ -s ] [ -S ] [ -t ad|a|r|d|dd|e ..

capinfos tcpdstat와 중복되는 정보도 있기는 하지만 다른점이라면 Bytes/sec, bits/sec, PPS 등을 한 눈에 볼 수 있다는 점과 dump 파일에 대한 Hash 값을 알려준다. $ sudo capinfos test.pcap File name: test.pcap File type: Wireshark/tcpdump/... - libpcap File encapsulation: Ethernet Packet size limit: file hdr: 65535 bytes Number of packets: 831697 File size: 886591637 bytes Data size: 873284461 bytes Capture duration: 5575 seconds Start time: Mo..

대용량 패킷 분석이라고는 했지만 분석할 대용량 패킷이 없어서 패킷 덤프한 파일 시이즈 900MB 정도로 분석할 예정이다. tcpdstat tcpdstat는 프로토콜 통계를 알려주는 유틸이다. $ sudo tcpdstat test.pcap DumpFile: test.pcap FileSize: 845.52MB Id: 201303041256 StartTime: Mon Mar 4 12:56:19 2013 EndTime: Mon Mar 4 14:29:15 2013 TotalTime: 5575.40 seconds TotalCapSize: 832.83MB CapLen: 1514 bytes # of packets: 831697 (832.83MB) AvgRate: 12.83Mbps stddev:7.07M PeakRate..

pcap.h 에러 메세지가 뜨면 libpcap-dev(el) 설치되어 있는 지 확인. http://sickbits.net/tcpdstat-fixing-a-compilation-bug-and-using-statistics/ Synopsis: tcpdstat [1] is very small program (see below) that provides statistical summary information from a pcap file. Network anomalies and traffic deviations can be detected more easily when perusing statistical information once a baseline has been established. To my kn..

와이어샤크에서는 GeoIP DB를 이용하여 패킷 캡쳐시 접속 국가 확인이 가능하다. GeoIP는 상용버전이지만 GeoIPLite라는 무료버전이 있다. 1. 먼저, 아래 URL에서 GeoIP DB를 다운 받는다. http://geolite.maxmind.com/download/geoip/database/ GeoIP.dat 국가별 IP가 저장되어 있는 DB GeoIPASNum.dat IP대역별 AS 번호가 저장되어 있는 DB GeoLiteCity.dat 도시별 IP가 저장되어 있는 DB 2. 다운 받은 파일을 특정 위치에 저장한다. 와이어샤크에서는 아래와 같은 위치에 저장하기를 권장하는 것 같다. Database pathname ....(생략)... The locations for your data file..