自由转载 ^_^ 同时请注明原文出处: http://www.cnblogs.com/wangvsa/archive/2012/07/19/2600013.html
上一篇简单介绍了几个捕获数据包的工具,这篇整理一下数据包及日志分析工具。
二、数据包及日志分析工具
很多数据包捕获工具记录log采用pcap格式,因此也就有很多工具分析pcap文件。下面简单
介绍几个。
1.capinfos - Prints information about capture files
这个工具比较简洁使用,它能分析所指定的pcap文件(一次可以多个),然后输出很多信息
(可以自己设置参数决定输出想要的信息)。capinfos -h 选项可以方便的设置参数。
如下不加任何参数将输出所有能够提供的信息:
capinfos out.pcap
//
这个out.pcap就是用logger工具记录的pcap文件
1
wangchen@wangchen-Aspire-
4741
:~/
shell_ex$ capinfos out.pcap
2
File name: out.pcap
3
File type: Wireshark/tcpdump/... -
libpcap
4
File encapsulation: Ethernet
5
Packet size limit:
file
hdr:
84
bytes
6
Packet size limit: inferred:
84
bytes
7
Number of packets:
5279647
8
File size:
413462964
bytes
9
Data size:
31 111541296
bytes
10
Capture duration:
301
seconds
11
Start
time
: Sat Jul
14
10
:
21
:
54
2012
12
End
time
: Sat Jul
14
10
:
26
:
55
2012
13
Data
byte
rate:
103320871.16
bytes/
sec
14
Data bit rate:
826566969.24
bits/
sec
15
Average packet size:
5892.73
bytes
16
Average packet rate:
17533.61
packets/
sec
17
SHA1: b8248a65614cbeb0cfb7d2ecca697bcdbfd9b9ee
18
RIPEMD160: ac5a2d103d873abfaa3fbbd50ae8abe123cb4755
19
MD5: 69d559f9a6bc9503d5f0d3df2d4382c8
20
Strict
time
order: False
21
wangchen@wangchen-Aspire-
4741
:~/shell_ex$
2. wireshark - Interactively dump and analyze network traffic
这个是有图形界面的,功能强大,简单易用,界面如下:
3.
tcptrace
- a TCP connection analysis tool
这个软件有两个主要功能,一个是分析pcap文件,找出所有tcp协议包,对所有这些包进行统计得到基于不同ip连接的
信息,然后输出到一个文本文件中。 其二是,对pcap文件信息图形化处理。
以下是使用第一个功能,-l选项说明详细输出。
tcptrace -l -n out.pcap > out.log
下面是out.log中的一个连接信息(还是很详细的):
1
TCP connection
1
:
2
host a:
10.10
.
10.48
:
38906
3
host b:
10.10
.
10.49
:
16797
4
complete conn: no (SYNs:
0
) (FINs:
0
)
5
first packet: Sat Jul
14
10
:
28
:
05.624726
2012
6
last
packet: Sat Jul
14
10
:
29
:
05.520813
2012
7
elapsed
time
:
0
:
00
:
59.896087
8
total packets:
443268
9
filename: out_1.pcap
10
a->b: b->
a:
11
total packets:
396623
total packets:
46645
12
ack pkts sent:
396623
ack pkts sent:
46645
13
pure acks sent:
394695
pure acks sent:
826
14
sack pkts sent:
0
sack pkts sent:
0
15
dsack pkts sent:
0
dsack pkts sent:
0
16
max sack blks/ack:
0
max sack blks/ack:
0
17
unique bytes sent:
2306368
unique bytes sent:
2881050304
18
actual data pkts:
1928
actual data pkts:
45819
19
actual data bytes:
2306368
actual data bytes:
2881050304
20
rexmt data pkts:
0
rexmt data pkts:
0
21
rexmt data bytes:
0
rexmt data bytes:
0
22
zwnd probe pkts:
0
zwnd probe pkts:
0
23
zwnd probe bytes:
0
zwnd probe bytes:
0
24
outoforder pkts:
0
outoforder pkts:
0
25
pushed data pkts:
419
pushed data pkts:
30106
26
SYN/FIN pkts sent:
0
/
0
SYN/FIN pkts sent:
0
/
0
27
urgent data pkts:
0
pkts urgent data pkts:
0
pkts
28
urgent data bytes:
0
bytes urgent data bytes:
0
bytes
29
mss requested:
0
bytes mss requested:
0
bytes
30
max segm size:
1460
bytes max segm size:
64240
bytes
31
min segm size:
4
bytes min segm size:
32
bytes
32
avg segm size:
1196
bytes avg segm size:
62878
bytes
33
max win adv:
382
bytes max win adv:
382
bytes
34
min win adv:
354
bytes min win adv:
365
bytes
35
zero win adv:
0
times zero win adv:
0
times
36
avg win adv:
381
bytes avg win adv:
381
bytes
37
initial window:
0
bytes initial window:
0
bytes
38
initial window:
0
pkts initial window:
0
pkts
39
ttl stream length: NA ttl stream length: NA
40
missed data: NA missed data: NA
41
truncated data:
2248606
bytes truncated data:
2879675734
bytes
42
truncated packets:
1925
pkts truncated packets:
45819
pkts
43
data xmit
time
:
59.693
secs data xmit
time
:
59.895
secs
44
idletime max:
217.1
ms idletime max:
215.4
ms
45
throughput:
38506
Bps throughput:
48100810
Bps
46
================================
4. tcpstat — report network interface statistics
这个工具即可以实时检测网络,也可以读取pcap文件然后产生想要的数据。而且还可以配合gnuplot使用
进行可视化(没有需求也就没试过~.~)。在官网上有如何可视化,
点这
。
可视化效果如下(官网的图):
还有很多是我没有使用过的,在tcpdump的网站里就介绍了很多相关软件,大家可以看一下, 点这 。
