3

我正在使用以下方法捕获流量:

 tcpdump -i <interface> -nn  -s0 -w ike2.pcap

然后我正在使用以下方法读取捕获的文件:

tcpdump  -vvv -l -r ike2.pcap

读取时,第一个数据包显示为:

07:22:33.320142 IP (tos 0x0, ttl  64, id 0, offset 0, flags [DF], length: 296) 10.0.0.1.isakmp > 10.0.0.2.isakmp: [udp sum ok] isakmp 2.0 msgid  cookie ->: phase 1 I #34[]:
    (#33)
    (#34)
    (#40)
    (#41)
    (#41)

我需要获取此数据包的详细信息。在这个 ISAKMP IKEv2 数据包中,我有兴趣提取“加密算法”和“完整性算法”的值(即“ENCR_3DES”和“AUTH_HMAC_MD5_96”)

如果我在 Wireshark 中检查数据包,我可以查看这些值。但是,我必须从 shell 脚本执行此操作,所以我不能使用wireshark。我需要从 tcpdump 读取命令本身获取这些值。

我假设可能有某种方法可以打印 tcpdump 读取命令中使用的加密和完整性算法。你能帮忙解决这个问题吗?

捕获的数据包:

捕获的数据包

4

3 回答 3

1

只需tcpdump就可以按照您的期望找到方法,但是 @user862787 说使用 tshark 如下:

# tshark -V -r somecapfile.pcap
Frame 1: 196 bytes on wire (1568 bits), 196 bytes captured (1568 bits)
Encapsulation type: Linux cooked-mode capture (25)
Arrival Time: May 10, 2017 02:00:34.811347000 CDT
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1494399634.811347000 seconds
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 196 bytes (1568 bits)
Capture Length: 196 bytes (1568 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: sll:ethertype:ip:sctp:m3ua:sccp:tcap:gsm_map]

-V 做你想做的事!

于 2017-11-08T15:27:28.397 回答
0

如果我在 Wireshark 中检查数据包,我可以查看这些值。但是,我必须从 shell 脚本执行此操作,所以我不能使用wireshark。

但是您也许可以使用 TShark。

于 2013-02-13T19:59:36.437 回答
0

tcpdump -r 带有一些其他标志(例如 -X)的文件。

于 2020-05-26T22:10:22.400 回答