网络数据包的捕获及分析软件简介(下)
自由转载 ^_^ 同时请注明原文出处: http://www.cnblogs.com/wangvsa/archive/2012/07/19/2600013.html
上一篇简单介绍了几个捕获数据包的工具,这篇整理一下数据包及日志分析工具。
二、数据包及日志分析工具
很多数据包捕获工具记录log采用pcap格式,因此也就有很多工具分析pcap文件。下面简单
介绍几个。
1.capinfos - Prints information about capture files
这个工具比较简洁使用,它能分析所指定的pcap文件(一次可以多个),然后输出很多信息
(可以自己设置参数决定输出想要的信息)。capinfos -h 选项可以方便的设置参数。
如下不加任何参数将输出所有能够提供的信息:
capinfos out.pcap // 这个out.pcap就是用logger工具记录的pcap文件
1 wangchen@wangchen-Aspire-4741:~/shell_ex$ capinfos out.pcap 2 File name: out.pcap 3 File type: Wireshark/tcpdump/... - libpcap 4 File encapsulation: Ethernet 5 Packet size limit: file hdr: 84 bytes 6 Packet size limit: inferred: 84 bytes 7 Number of packets: 5279647 8 File size: 413462964 bytes 9 Data size: 31 111541296 bytes10 Capture duration: 301 seconds11 Start time: Sat Jul 14 10:21:54 201212 End time: Sat Jul 14 10:26:55 201213 Data byte rate: 103320871.16 bytes/sec14 Data bit rate: 826566969.24 bits/sec15 Average packet size: 5892.73 bytes16 Average packet rate: 17533.61 packets/sec17 SHA1: b8248a65614cbeb0cfb7d2ecca697bcdbfd9b9ee18 RIPEMD160: ac5a2d103d873abfaa3fbbd50ae8abe123cb475519 MD5: 69d559f9a6bc9503d5f0d3df2d4382c820 Strict time order: False21 wangchen@wangchen-Aspire-4741:~/shell_ex$
2. wireshark - Interactively dump and analyze network traffic
这个是有图形界面的,功能强大,简单易用,界面如下:
3. tcptrace - a TCP connection analysis tool
这个软件有两个主要功能,一个是分析pcap文件,找出所有tcp协议包,对所有这些包进行统计得到基于不同ip连接的
信息,然后输出到一个文本文件中。 其二是,对pcap文件信息图形化处理。
以下是使用第一个功能,-l选项说明详细输出。
tcptrace -l -n out.pcap > out.log
下面是out.log中的一个连接信息(还是很详细的):
1 TCP connection 1: 2 host a: 10.10.10.48:38906 3 host b: 10.10.10.49:16797 4 complete conn: no (SYNs: 0) (FINs: 0) 5 first packet: Sat Jul 14 10:28:05.624726 2012 6 last packet: Sat Jul 14 10:29:05.520813 2012 7 elapsed time: 0:00:59.896087 8 total packets: 443268 9 filename: out_1.pcap10 a->b: b->a:11 total packets: 396623 total packets: 46645 12 ack pkts sent: 396623 ack pkts sent: 46645 13 pure acks sent: 394695 pure acks sent: 826 14 sack pkts sent: 0 sack pkts sent: 0 15 dsack pkts sent: 0 dsack pkts sent: 0 16 max sack blks/ack: 0 max sack blks/ack: 0 17 unique bytes sent: 2306368 unique bytes sent: 2881050304 18 actual data pkts: 1928 actual data pkts: 45819 19 actual data bytes: 2306368 actual data bytes: 2881050304 20 rexmt data pkts: 0 rexmt data pkts: 0 21 rexmt data bytes: 0 rexmt data bytes: 0 22 zwnd probe pkts: 0 zwnd probe pkts: 0 23 zwnd probe bytes: 0 zwnd probe bytes: 0 24 outoforder pkts: 0 outoforder pkts: 0 25 pushed data pkts: 419 pushed data pkts: 30106 26 SYN/FIN pkts sent: 0/0 SYN/FIN pkts sent: 0/0 27 urgent data pkts: 0 pkts urgent data pkts: 0 pkts 28 urgent data bytes: 0 bytes urgent data bytes: 0 bytes29 mss requested: 0 bytes mss requested: 0 bytes30 max segm size: 1460 bytes max segm size: 64240 bytes31 min segm size: 4 bytes min segm size: 32 bytes32 avg segm size: 1196 bytes avg segm size: 62878 bytes33 max win adv: 382 bytes max win adv: 382 bytes34 min win adv: 354 bytes min win adv: 365 bytes35 zero win adv: 0 times zero win adv: 0 times36 avg win adv: 381 bytes avg win adv: 381 bytes37 initial window: 0 bytes initial window: 0 bytes38 initial window: 0 pkts initial window: 0 pkts 39 ttl stream length: NA ttl stream length: NA 40 missed data: NA missed data: NA 41 truncated data: 2248606 bytes truncated data: 2879675734 bytes42 truncated packets: 1925 pkts truncated packets: 45819 pkts 43 data xmit time: 59.693 secs data xmit time: 59.895 secs 44 idletime max: 217.1 ms idletime max: 215.4 ms 45 throughput: 38506 Bps throughput: 48100810 Bps 46 ================================
4. tcpstat — report network interface statistics
这个工具即可以实时检测网络,也可以读取pcap文件然后产生想要的数据。而且还可以配合gnuplot使用
进行可视化(没有需求也就没试过~.~)。在官网上有如何可视化, 点这。
可视化效果如下(官网的图):
还有很多是我没有使用过的,在tcpdump的网站里就介绍了很多相关软件,大家可以看一下, 点这。