استخراج خصیصه ها با استفاده از tcptrace

[almehrdad]

سلام و عرض ادب خدمت دوستان محترم.

دوستان کسی با tcptrace خصیصه های جریان ها رو استخراج کرده؟ من هنوز مشکلم درباره استخراج خصیصه ها برطرف نشده.

من فایل کپ رو شکستم و به فایل های کوچکتری تقسیم کردم. حال این فایل ها رو به ابزار tcptrace داده ام و جواب گرفتم . اما من میخوام همه خصیصه های جریان رو استخراج کنم. در ضمن تمام کانکشن هایی که بعد اجرای دستور بنده روی صفحه به نمایش در میاد رو نمیتونم رو ترمینال اوبونتو14.04 ببینم مثلا از کانکشن 2356 شروع میکنه به نشون دادن اما من میخوام از اولش تمام کانکشن ها رو ببینم.

لطفا راهنماییم کنید.

مثلا ی نمونه دستورش اینه tcptrace -lr test.pcap

[almehrdad]

و باز هم کسی پاسخگوی من نیست .
 

[藤沼]

دو مطلب زیر رو ببینید:
http://ubuntuforums.org/showthread.php?t=1981432
http://prefetch.net/blog/index.php/2006/04/17/debugging-tcp-connections-with-tcptrace/

[almehrdad]

نوید جان مطالبت خوب بود اما مشکل منو حل نکرد. من دنبال یکسری دستور خط فرمان هستم که بتونم همه خصیص های فایل کپ رو استخراج کنم. من میخوام خصیصه ها رو تو فایل متنی ذخیره کنم تا بعدش رو اونا پردازشم رو آغاز کنم. برام خیلی مهمه این داستان و باید تموم کنم زودتر کارم رو . دیتاست من مربوط به آیزوته که به مبحث بات ها مربوط میشه.

[almehrdad]

ی بابا یعنی کسی تو ایران کسی خصیصه استخراج نکرده؟ کسی با Tcptrace کار نکرده ؟ هیشکی نمیتونه کمکم کنه؟

[藤沼]

به‌نظرم اگر در انجمن‌های مرتبط با شبکه مثل Persian Networks پرسشتون رو طرح کنید، سریع‌تر به جواب می‌رسید.

[almehrdad]

داش نوید اونجا هم گذاشتم بی فایدست. فقط مشاهده میکنن.

[藤沼]

یک مطلب براتون پیدا کردم که امیدوارم بدردتون بخوره یک نگاهی بندازید. شیوه‌اش اینطوریه که پکت‌ها رو خرد و بعد خصوصیات رو استخراج می‌کنه:
http://packetlife.net/blog/2011/apr/11/extracting-packets-large-captures
نکته: اگر به دیدگاه‌های موجود توی بلاگ بالا توجه کنید ابزارهای خوبی برای اینکار آشنا کردند. مثل این یکی:
http://www.netresec.com/?page=SplitCap
تازه شد

[almehrdad]

ممنونم که کمکم می کنی .
ی سوال درباره ابونتو دارم .  پس از اجرای دستورات در ترمینال ابونتو14.04 مثلا حدود ی دقیقه طول میکشه یکسری جریان رو به عنوان خروجی به من میده(روی صفحه نمایش بالا میره). اما وقتی اسکرول میکنم میبینم مثلا 5 تا بیشتر نداده بهم . چطوری میتونم همش رو ببینم.؟؟

[doomhammer65ir]

خروجی رو بریزد تو فایل :

کد: [انتخاب]

command arg1 arg2 arg3 > khorooji.txt

[almehrdad]

دستور من اینه tcptrace -lr test.pcap
چطوری بنویسمش؟؟

[doomhammer65ir]

کد: [انتخاب]

tcptrace -lr test.pcap >output.txtسپس :

کد: [انتخاب]

gedit output.txt

[藤沼]

پس مشکل شما بافر اسکرول‌بکه (Scrollback Buffer) (: من گمون کردم دستور tcptrace خروجی موردنظر رو بهتون نمی‌ده. اگر اینطور هست که روشی که دوستمون گفته باید جواب بده. ضمناً توی هر ترمینال می‌تونید تعداد خط‌هایی که سکرول‌بک می‌شه رو تعیین کنید.

[almehrdad]

نوید جان مشکل من tcptrace هست. و دنبال دستور درستش می گردم. البته مشکل ترمینالم داشتم چون با لینوکس زیاد کار نکرده بودم. مشکلات  که یکی دوتا نیست.
ممنونننننننننننننننننننننننننننننننم ازتون که راهنمایی میکنید.
doomhammer65ir و نوید عزیز