5

我有一个帧的 64 字节十六进制流-

000A959D6816000A959A651508004500002E000000004006AF160A010101C0A8000A11D71EC6000000000000000050000000AD840000000102030405CC904CE3

如何将其导入 Wireshark 并查看整个数据包?如果我将此流保存到文本文件中并加载它,则导入十六进制转储的选项在我的情况下似乎不起作用。

4

3 回答 3

9

由于这个十六进制流是十六进制的,并且对于十六进制到十六进制转储的转换,od似乎不起作用。所以解决方案是将这个十六进制转换回二进制,然后od -Ax -tx1 -v [file]在那个二进制文件上使用。

xxd -r -p [hexfile] [binaryfile]
od -Ax -tx1 -v [binaryfile]

注意:使用该组合-r -p可以读取没有行号信息和特定列布局的普通十六进制转储。

于 2014-05-17T11:03:19.883 回答
2

十六进制流可以od通过一对转换为类似格式的过滤coreutils。例如,可以将输出馈入text2pcap以设置链路层类型。

{ echo -n "0000 "; echo $hex_stream | fold -w 2 | paste -sd ' '; } | text2pcap -l 147 - $file

hex_stream是要剖析的数据,filepcap要写入的文件text2pcappcap我将其用作脚本的一部分,该脚本从十六进制流生成临时文件并调用tshark以对其进行剖析 - 这可以立即为我提供剖析结果,无需人工干预。

Wireshark wiki 中的How to Dissect Anything页面提供了关于任意数据剖析的更多信息。

于 2017-06-24T13:23:27.113 回答
0

如果您按照本页所示格式化十六进制字符串,您应该能够使用Import from Hex Dump对话框导入您创建的文件。

于 2014-05-17T10:00:42.107 回答