wiresharkの大きなpcapで大きなフローを一度に選択

Question

私は1000以上のTCPフローを持つ大きなpcapを持っています。私は大規模なフローを100以上のパケットでフィルタリングしたいと思っています。会話してそのフローを右クリックすると、それらのフローをフィルタリングできます。 100.パケット数> n（nは任意の+ ve整数）のフローを得るために使用できる他のクイック表示フィルタがあります。私のようなすべてのフローを与えることができ

flow.num_pkt > 100 

：

は、のようないくつかのフィルターを言います。

おかげでたくさん、

任意のヘルプは大歓迎されます。

Answer 1

Broは接続指向分析のためのaptツールです。

192.168.1.105 49325 137.226.34.227 80 73568 146244 
192.168.1.105 49547 198.189.255.74 80 16764 57098 
192.168.1.105 49531 198.189.255.74 80 5186 14843 
192.168.1.105 49255 198.189.255.73 80 4749 32164 
192.168.1.104 1422 69.147.86.184 80 2657 2656 
192.168.1.105 49251 198.189.255.74 80 2254 13854 
192.168.1.1 626 224.0.0.1 626 2175 0 
192.168.1.105 49513 198.189.255.82 80 2010 3852 
192.168.1.103 2026 151.207.243.129 80 1953 2570 
192.168.1.105 49330 143.166.11.10 64334 1514 3101 

ツールでbro-cut発送します

bro -r trace.pcap 
bro-cut id.orig_h id.orig_p id.resp_h id.resp_p orig_pkts resp_pkts < conn.log \ 
    | awk '$5+$6 > 100 {print $1,$2,$3,$4,$5,$6}' \ 
    | sort -rn -k 5 \ 
    | head 

これは、次のような出力が得られます。フローごとのパケット数を見つけるには、トレースにブロを実行し、ログから値を抽出するだけで実行しますBroは、ログから特定の名前付き列を抽出する便利な方法を提供します。この作業のために、あなたがしたい：

• id.orig_h：接続発信元のIP（ソース）
• id.orig_p：接続発信元のトランスポート・レイヤ・ポート（ソース）
• id.resp_h：接続応答のIP（宛先）
• id.resp_p：接続応答のトランスポート・レイヤ・ポート（ソース）
• orig_pkts：オリジネータによって送信されたパケットの数
• resp_pkts：レスポンダによって送信されたパケットの数

注awkフィルタ式：

awk '$5+$6 > 100 {print ...}' 

それは100

より大きいパケットの合計数を有するこれらの接続への出力を制限します

固定サイズのパケットがない限り、パケットサイズ（IPまたはTCPペイロード）などの他のメトリックも調べることをお勧めします。これらは、orig_bytesおよびresp_bytes列を介して接続ログに簡単に格納されます。