最近,需要将wireshark监听的数据进行提取,分两步:首先,应该得出wireshark的数据包吧,在图形化界面中可以非常直观的将监听数据进行存储,但是这样需要手动操作非常麻烦,而且容易出错(随着处理数据包的数量增加,图形化可能吃不消,以前就遇见过),在linux下,采用了tshark命令,tshark就是wireshark图形界面命令行化,命令如下:
sudo tshark -f "udp port 1243" -i eth0 (-w)> /tmp/capture.cap
对上面的命令进行解释:"udp port 1243",双引号内的东西就是对需要监听的内容进行一个筛选,也就是端口号为1243的udp数据包,-i后面就是需要监听的接口,接口后面的(-w)和(>)两个选项,表示需要存储文件的格式,-w存储的可能是二进制文件,例如,使用-w的话,那么这行命令执行以后capture.cap就是二进制的文件,那么使用>以后,则保存的文本文件,当然,现在需要的是纯文本文件,最后则是文件需要保存的路径以及名称。
第一步完成以后,则需要从数据中提取出来需要的数据,比如时间,源、目的地址等有用信息,我们采用如下命令:
sudo cat /tmp/capture.cap | awk'{print $1"\t" $2"\t" $3}' > /tmp/capture.txt
此时cat的任务就是将需要被提取的文件展现出来,通过管道,将输出内容作为awk命令的输入,awk是一个非常好的数据处理工具。具体见鸟哥的私房菜基础篇363页!,同样的输出为纯文本格式文件capture.txt,完成了上述的工作,我想放入同一个脚本就能非常轻松的调用而且不用出错,将上述两行命令输入一个脚本中,但是我发现无法出来capture.txt文件,后来发现自己SB了,脚本是一行一行执行,第一行是一直执行的,根本执行不到第二行来,后来在第一行后面加上&,让其进行后台运行,capture.txt,倒是可以出来但是内容为空白,因为该文件仅仅在上面文件创建了就开始抓取自己的内容,当然什么也没有。
后来我想,我要的只是最后经过调整的数据,不需要中间数据啊,为什么不直接一条命令进行提取不就完了,于是将两个命令融合如下:
sudo tshark -f "udp port 1243" -i eth0 |awk '{print $1 "\t" $2 "\t" $3}' > /tmp/capture.txt