Ho bisogno di convertire un file pcap-ng / now in un file raw per poterlo analizzare con multimon-ng. Qualche raccomandazione? Dovrebbe essere possibile, ma non so come dovrebbe essere fatto.
Come convertire un file pcap in un file raw?
5
3 risposte
5
Se vuoi solo il dump esadecimale ASCII di tutti i dati e nient'altro, puoi semplicemente reindirizzare l'output di tshark a sed:
tshark -x -r mydata.pcap | sed -n 's/^[0-9a-f]*\s\(\(\s[0-9a-f][0-9a-f]\)\{1,16\}\).*$//p'
0
Apri Wireshark e vai a:
Menu -> File -> Export Packet Dissections -> As Plain Text File
Seleziona l'intervallo di pacchetti che desideri visualizzare nel tuo file txt :
Seseiinteressatoallasoluzionedarigadicomando,puoicontrollaretshark
risposta data
26.07.2015 - 18:30
fonte
0
Non vedo nessuna delle modalità di trasmissione per Ethernet o per IEEE 802.11 elencate in il file README multimon-ng , quindi non sono sicuro di come analizzare un'acquisizione di rete, eseguita su OSI layer 2, con multimon-ng.
I.e., non sono sicuro che potrebbe convertire un file pcap arbitrario in qualcosa che un multimon-ng può analizzare. Se c'è qualche protocollo nel file pcap che contiene forme d'onda di segnali radio, potrebbe esserci un modo per scaricare le forme d'onda in un file che potrebbe quindi essere analizzato da multimon-ng, ma non è possibile, ad esempio, trasformare un'acquisizione 802.11 in una forma d'onda radio per il sottostante 802.11 PHY - il segnale radio analogico è stato da tempo trasformato in un flusso di bit e ulteriormente elaborato dall'adattatore 802.11, rimuovendo le informazioni su quel livello.
risposta data
26.07.2015 - 20:59
fonte