In der letzten Zeit beschäftige ich mich mit dem Suchen der Nadel im Packethaufen. Dabei ist Wireshark ja ein gängiges Tool, welches großartig funktioniert. Ebenso lief sich mit dem Paket dsniff unter Linux einiges hervorzaubern. mailsnarf ließ fix die SMTP/POP3 Nachrichten hervorpurzeln, klasse.

Bevor ich es vergesse, mein Haufen wurde mit snoop unter Sun Solaris erzeugt. Klappt wunderbar, jedoch kommen manche Analyseprogramme, wie TCPDump nicht so gut damit klar. Also muss das snoop-Format in libpcap konvertiert werden.

tshark kann snoop nach libpcap konvertieren. Das geht fein unter der Kommandozeile.

bash$ for fname in *.snoop ; do \
nfname="${fname%%.snoop}.pcap" ; \
tshark -r "${fname}" -w "${nfname}" && \
rm -f "${fname}" ; \
echo "rc=$? ${fname} -> ${nfname}" ; \
done

Poff. Fertig.