Obtenez la première et dernière fois à partir du fichier pcap avec les outils de ligne de commande Wireshark (comme tshark)

Question

J'ai une énorme collection de fichiers PCAP, dont certains ont été "touchés" depuis qu'ils ont été capturés. Cela signifie que l'horodatage du système sur le fichier peut ne pas correspondre à l'heure de la capture des données. De plus, la plupart des fichiers sont des autosaves de Wireshark, et parfois l'ordinateur hôte n'obtient pas les données du tap après l'heure de capture, donc si cela se produit juste après un fichier enregistré automatiquement, le fichier séquentiel suivant a effectivement des captures avant l'heure de fin du fichier précédent.

J'ai un analyseur automatique qui utilise tshark pour parcourir ces fichiers. Cependant, il faut environ 2 minutes par fichier pour s'exécuter et j'ai des dizaines de milliers de fichiers, et je ne saurai pas qu'il y a un problème d'horodatage avant d'avoir passé les fichiers problèmes.

Existe-t-il un moyen facile de saisir le premier "epoch time" et le dernier "epoch time" d'un fichier PCAP en utilisant tshark (ou un autre outil en ligne de commande) sans avoir à scanner le fichier entier?

Answer 1

Non (pas avec tshark). Wireshark fournit un programme, capinfos, qui lit un fichier de capture pour obtenir des informations sur le fichier de capture telles que l'heure de début, l'heure de fin, le nombre de paquets, etc. (voir l'aide pour plus de détails).

capinfos ne fait pas de dissection et sera donc beaucoup plus rapide que tshark.

$capinfos -a -e wireless_080224_first.pcap.gz 
File name:   wireless_080224_first.pcap.gz 
First packet time: 2008-02-24 13:10:09.637336 
Last packet time: 2008-02-24 13:40:23.026171 

$capinfos -T -r -a -e wireless_080224_first.pcap.gz 
wireless_080224_first.pcap.gz 2008-02-24 13:10:09.637336  2008-02-24 13:40:23.026171 

; sortie par défaut

$capinfos wireless_080224_first.pcap.gz 
File name:   wireless_080224_first.pcap.gz 
File type:   Wireshark/tcpdump/... - pcap (gzip compressed) 
File encapsulation: Ethernet 
File timestamp precision: microseconds (6) 
Packet size limit: file hdr: 65535 bytes 
Number of packets: 15 k 
File size:   12 MB 
Data size:   13 MB 
Capture duration: 1813.388835 seconds 
First packet time: 2008-02-24 13:10:09.637336 
Last packet time: 2008-02-24 13:40:23.026171 
Data byte rate:  7705 bytes/s 
Data bit rate:  61 kbps 
Average packet size: 894.31 bytes 
Average packet rate: 8 packets/s 
SHA1:    222837342c170e8fb0c2673aef9c056a2ddc08ae 
RIPEMD160:   ecf83704b912da3d2f69f4257fa9ee1658aac6cb 
MD5:     b82eda24d784e69ac0828a4ebffed885 
Strict time order: True 
Number of interfaces in file: 1 
Interface #0 info: 
    <snip> 

Answer 2

capinfos est la meilleure solution, mais si vous n'avez pas accès à ou à utiliser tshark Voici comment vous pouvez aller à ce sujet

tshark -r $file -Tfields -e frame.time_delta | sort -n | tail -1