将 pcap 文件导出到包含所有信息的 csv 中答案

【问题标题】：Exporting pcap file into csv with all informations将 pcap 文件导出到包含所有信息的 csv 中
【发布时间】：2020-11-11 16:15:49
【问题描述】：

我尝试从 Wireshark 将 pcap 文件导出为 CSV。但是在这样做的同时，我只得到了帧号、时间、源、目的地、协议、长度和信息等基本数据。但是，在将相同的 pcap 文件导出为纯文本文件或 JSON 文件时，会包含有关数据包的所有详细信息。如何获得类似的列

持续时间
protocol_type
服务
标志
src_bytes
dst_bytes
土地
错误片段
紧急
热
num_failed_logins
logged_in
num_compromised
root_shell
su_attempted
num_root
num_file_creations
num_shells
num_access_files
num_outbound_cmds
is_host_login
is_guest_login
计数
srv_count
serror_rate
srv_serror_rate
rerror_rate
srv_rerror_rate
same_srv_rate
diff_srv_rate
srv_diff_host_rate
dst_host_count
dst_host_srv_count
dst_host_same_srv_rate
dst_host_diff_srv_rate
dst_host_same_src_port_rate
dst_host_srv_diff_host_rate
dst_host_serror_rate
dst_host_srv_serror_rate
dst_host_rerror_rate
dst_host_srv_rerror_rate

单个数据包是否包含所有这些字段详细信息？如果有其他方法可以得到这些，请提出建议

【问题讨论】：

标签： csv networking wireshark packet pcap

【解决方案1】：

每个数据包都可能有一组不同的字段。这就是为什么 CSV 不是这种事情的好格式，除非您有一组非常具体的感兴趣的字段。例如，一个 ARP 数据包将包含以太网报头的详细信息以及 ARP 字段，但它不会有 IP 标头、TCP 标头或 HTTP 数据包等的详细信息。而 HTTP 数据包将具有以太网、IP、TCP 和 HTTP 字段，但通常不会具有 ARP 字段。 Wireshark 支持数百种协议，因此默认情况下，仅为数据包中存在的那些协议/字段打印字段值。

可以使用-T fields 和多个-e <field_name> 选项来指定您可能想要查看的所有字段。但是您将获得每个数据包的每个字段的值（如果该字段不适用于特定数据包，则为空）。这可能适用于 CSV。

【讨论】：

感谢您的回答，您能否给出一个示例命令以使用 -e 转换某些字段

【解决方案2】：

后来发现我在问题中提到的大部分字段都是流相关的信息，而不仅仅是一个数据包。

https://github.com/ahlashkari/CICFlowMeter

检查上面的存储库，它提取了 82 个特征。可以从 pcap 文件中捕获或导入数据。

【讨论】：