我有来自存储在*.pcap文件中的多个源的碎片包。我需要合并来自同一源的所有这些有效负载,并在文件中提取有效负载。
我需要使用tcpdump或tshark命令执行上述任务。
如果我遗漏了某些内容或者您需要更多说明,请告诉我。
使用pdml2flow(pypi),您可以根据tshark / wireshark提取的任何字段合并/聚合帧,并将它们打印为JSON,XML或任何其他格式。您还可以轻松地为您的用例提取,重新排列和保存有效负载的create a new plugin。
例如,如果您想要使用相同的源和目标mac聚合所有帧并将它们打印为JSON,则可以执行以下操作:
tshark -i interface -Tpdml | pdml2flow -f eth.src -f eth.dst +json
如果您可以根据要合并/聚合的字段找到一组字段,这可能会有所帮助。
披露:我是pdml2flow的作者。