事情是这样的。当我在 Wireshark 中处理 Internet 数据包信息时遇到问题。我需要一个工具可以帮助我处理大量数据包并获取数据包信息(我的意思是数据包内的数据显示为十六进制并从Wireshark中剪下特定部分),可以按特定订单订购。好吧,如果它可以生成一个表格,我将非常感激。非常感谢。
问问题
290 次
1 回答
0
我在Wireshark中处理Internet包信息时遇到问题
(在英语中,通常使用的术语是“数据包”,而不是“包”;我假设您在这里指的是网络数据包。)
您是使用 Wireshark 还是其他程序处理它们?
我需要一个工具可以帮助我处理大量的包,并从 Wireshark 中取出包信息(我的意思是包内的数据显示为十六进制并删除特定部分),并且可以按特定顺序订购。
Wireshark 编写的捕获文件要么是 pcap 要么是 pcap-ng 格式;libpcap/WinPcap 可以读取 pcap 文件,而 libpcap 1.1.0 及更高版本可以读取许多 pcap-ng 文件。这些文件中的数据包记录有一个时间戳,给出了接收数据包的日期和时间(以 UTC 表示,表示为自 1970 年 1 月 1 日 00:00:00 UTC 以来的时间),数据包出现在网络,保存的数据包数据量(可以告诉捕获程序保存不超过N字节的数据包数据,用户指定N的值),以及二进制形式的原始数据包数据。
您可以使用 libpcap/WinPcap 来读取这些文件(尽管旧版本的 libpcap 和当前版本的 WinPcap 无法读取 pcap-ng 文件)。不能保证文件中的数据包按时间戳值排序,因此您必须自己对它们进行排序。
我不知道您所说的“删除特定部分”是什么意思;如果您想提取数据包数据的特定部分,您要么必须编写自己的代码来理解这一点,要么找到一些可以帮助您做到这一点的工具 - TShark-T fields选项可能在这里起作用,Scapy也可能如此。
于 2013-03-13T19:41:25.720 回答