如果用perl解析pcap包

amysue

因?yàn)楣ぷ餍枰�，需要解析pcap包， 我已經(jīng)寫了一部分代碼

1. #!/usr/bin/perl
   
2. use strict;
   
3. use warnings;
   
4. use Net::Pcap;
   
5. use Net::PcapUtils;
   
6. use NetPacket::Ethernet qw(:strip);
   
7. use NetPacket::IP;
   
8. use NetPacket::TCP;
   
9. 
   
10. my $file = "packet-c.pcap";
    
11. my $err  = '';
    
12. my $pcap = Net::Pcap::open_offline($file, \$err) or die "Can't open file...$err\n";
    
13. Net::Pcap::loop($pcap, -1, \&process_pkt, '');
    
14. Net::Pcap::close($pcap);
    
15. 
    
16. sub process_pkt {
    
17.     my ($user_data, $header, $packet) = @_;
    
18.     #   Strip ethernet encapsulation of captured packet
    
19.     my $ether_data = NetPacket::Ethernet::strip($packet);
    
20.     #   Decode contents of TCP/IP packet contained within
    
21.     #   captured ethernet packet
    
22.     my $ip = NetPacket::IP->decode($ether_data);
    
23.     my $tcp = NetPacket::TCP->decode($ip->{'data'});
    
24.     #   Print all out where its coming from and where its
    
25.     #   going to!
    
26.     print
    
27.         $ip->{'src_ip'}, ":", $tcp->{'src_port'}, " -> ",
    
28.          $ip->{'dest_ip'}, ":", $tcp->{'dest_port'}, "\n"，
    
29.          "#############################################\n",
    
30.         $tcp->{'data'}, "\n",
    
31.         "#############################################\n";
    
32. }

復(fù)制代碼

但這個(gè)只能分析出ip，端口之類的。我想得到
$tcp->{'data'}的值，但現(xiàn)在得到的只是加密后的值，有什么辦法可以解析嗎， 謝謝

laputa73

先用tshark或者tcpdump轉(zhuǎn)成文本,再用perl

amysue

回復(fù) 2# laputa73

用tcpdump 將pcap包轉(zhuǎn)換，然后用perl什么模塊處理呢？如何得到wireshark那樣的數(shù)據(jù)呢？就是ethernet, ip, tcp 每層內(nèi)容都能得到呢？

laputa73

要想得到wireshark那樣的協(xié)議信息,就只能用tshark了.
wireshark自帶的命令行工具...

amysue

回復(fù) 4# laputa73
用tshark試了，能達(dá)到我的目的了，非常感謝