Quel outil puis-je utiliser pour obtenir un compte du nombre de connexions TCP et UDP dans un fichier pcap ?
Réponses
Trop de publicités?
Gerald Combs
Points
6281
Pour les connexions TCP, vous pouvez obtenir une assez bonne approximation en comptant le nombre d'heures de connexion. SYN-ACK paquets.
tcpdump -nr trace.pcap 'tcp[tcpflags] & (tcp-syn|tcp-ack) = (tcp-syn|tcp-ack)' | wc -lPour UDP, il n'y a pas de connexion, donc vous devez d'abord définir ce que vous voulez compter. Vous pourriez compter combien de paires distinctes de source et de destination sont présentes dans le fichier. Cette commande comptera les paquets dans chaque direction séparément, donc si chaque "connexion" envoie des paquets dans les deux directions, vous devrez diviser par deux.
tcpdump -nr trace.pcap 'udp' | cut -f2-5 -d' ' | sort -u | wc -lSi vous préférez un outil basé sur une interface graphique, Wireshark peut analyser les connexions TCP. Il attribue un numéro à chaque connexion TCP qu'il trouve dans le fichier, de sorte que vous pouvez simplement faire défiler le fichier jusqu'en bas et regarder quel numéro a été attribué à la dernière connexion. (Vous devrez peut-être vérifier plusieurs connexions, si elles se chevauchent et qu'une autre connexion continue après le dernier paquet de la connexion portant le numéro le plus élevé).
