tshark 中是否有流 id 的概念?当我搜索过滤器时,我发现tcp.stream存在,但它与 udp 的等价物,即udp.stream不存在。当我打开一个 pcap 时,默认情况下它会显示帧号、IP 地址、信息等。在一列中,我还需要每个数据包的流 ID 以及帧号。tshark 提供这样的支持吗?如果没有,我有什么办法可以做到这一点?
我写了一个程序,我正在读取一个 pcap 文件,一个包一个包,我需要每个包读取的 flowid。如果我使用 tshark 命令作为
./tshark -r in.pcap -z conv,tcp
它显示数据包编号以及其他一些详细信息,但我希望也显示可以在我的程序中读取的 flowid。
任何帮助将不胜感激。谢谢。
以下是wireshrak 为获取tcp.stream 所做的工作。Tcp 解析器有一个全局变量guint32 tcp_stream_index;
,然后每个数据包与会话相关联。每个对话数据都存储在一个哈希表中(Wireshark 使用GHashTable)。他们使用 5 元组作为键。如果他们得到新的 5 元组,他们会启动新的对话并在那里增加 tcp_stream_index:
init_tcp_conversation_data(packet_info *pifo)
{
...
tcpd->stream = tcp_stream_index++;
...
}
还有他们如何获得哈希:
/*
* Hash an address into a hash value (which must already have been set).
*/
#define ADD_ADDRESS_TO_HASH(hash_val, addr) { \
const guint8 *ADD_ADDRESS_TO_HASH_data; \
int ADD_ADDRESS_TO_HASH_index; \
ADD_ADDRESS_TO_HASH_data = (addr)->data; \
for (ADD_ADDRESS_TO_HASH_index = 0; \
ADD_ADDRESS_TO_HASH_index < (addr)->len; \
ADD_ADDRESS_TO_HASH_index++) \
hash_val += ADD_ADDRESS_TO_HASH_data[ADD_ADDRESS_TO_HASH_index]; \
}
...
hash_val = 0;
ADD_ADDRESS_TO_HASH(hash_val, &key->addr1);
hash_val += key->port1;
ADD_ADDRESS_TO_HASH(hash_val, &key->addr2);
hash_val += key->port2;
...
这是一个用lua编写的wireshark监听器的简单示例。但是你需要函数 mk_flowid、update_conversation_data、show_gathered_statics。
local tap
local conversations = {}
local function packet(pinfo, tvb, userdata)
local id = mk_flowid(pinfo.src, pinfo.src_port,
pinfo.dst, pinfo.dst_port, pinfo.ipproto)
local conv = converstaion[id]
update_conversation_data(conv)
-- Also you can output to a file
-- to_file(pinfo.number, id)
end
local function draw(userdata)
print_gathered_statistics(conversations)
end
local function reset(userdata)
conversations = {}
end
local function show_myconv()
tap = Listener.new()
tap.packet = packet
tap.draw = draw
tap.reset = reset
end
register_stat_cmd_arg('myconv', show_myconv)
并启动 tshark:
tshark -X lua_script:myconv.lua -z myconv -r in.pcap