问题标签 [wireshark-dissector]

我有以下跟踪：

：

在 wireshark 首选项中，我将以下选项设置为 Off ：

在 TCP Prefs 中：允许 subdissector 重新组装 TCP 流

在 SIP 首选项中：重新组装跨越多个 TCP 段的 sIP 标头

在 SIP prefs 中：重新组装跨越多个 TCP 段的 sIP 主体

我正在尝试使用下面给出的 tshark 命令分析此跟踪。但是在输出中我没有显示任何数据包，即使数据包在跟踪中：

如何修改过滤器以捕获突出显示的数据包？

我发现，如果我打开所有上述 Wireshark 选项，TCP 数据包将显示为：

也许 tshark 默认允许重组，因此它无法将数据包过滤为 SIP 消息。我还可以使用 tshark 过滤器捕获数据：“tcp contains '500 Responder'”

但我只需要将其过滤为 sip 状态代码。我如何实现这一目标？

请注意，SIP 状态代码确实是 500，因此初始过滤器应该可以工作。

假设我的朋友通过他的计算机 Wireshark 给我发送了一个 .pcap 文件捕获，我知道有一些软件可以修改这个 pcap 文件。（例如 EditCap）

如何确保文件没有被这些软件修改？（我想确保 pcap 文件必须是 Wireshark 原始创建的）

谢谢

我尝试制作一个基于插件的 ASN1 解析器。我使用了 toyasn1 示例，仅将我的 .asn 文件添加到插件的 makefile 中。现在，如果我启动wireshark，我总是会收到错误消息：

Couldn't load module /wireshark-1.10-9/plugins/toyasn1/.libs/toyasn1.so: /wireshark-1.10.9/plugins/toyasn1/.libs/toysn1.so: undefined symbol: dissector_add

出现同样的错误dissector_delete。

有人知道如何解决吗？

我创建了一些协议解析器的wireshark插件。我使用版本 1.10.9 的源代码来创建插件。该插件与安装的wireshark 1.10.9 或更低版本一起工作正常。但是，当我将我的 dll 文件放入已安装的 1.12.1 版本的wireshark 的插件文件夹中时，wireshark.exe 不再启动。

它在对话框中显示一些错误，例如“此应用程序导致了一些错误......”。

我使用MSVC2010构建插件，Wireshark平台是win64。

我是否需要每次都重新编译插件以使其与最新的更高版本的 Wireshark 应用程序一起使用？或者有没有其他解决方案？

i am new to the openflow protocol ,i want to know in which layer openflow protocol works. Thanks in advance.

在这段代码中使用 pyshark

i并len(cap._packets)给出两个不同的结果。这是为什么？

是否可以使用 for 循环动态命名变量？例如：

我的实际问题包括为wireshark解剖器动态创建protofields，但如果以上不可能，我怀疑protofield问题是否可能

下面是自定义格式数据包的转储示例，每个数据包开头都有两个字节的私有标头“00 01”。

那么有没有办法让wireshark跳过两个字节的private header，把剩下的内容当作普通的PDU处理呢？或者如何为此编写客户剖析器？

使用 Qt，我开发了一个 Wireshark 插件，用于在窗口中手动解码一些数据。我还下载了用于在 Qt 中实现它的 Wireshark 代码。

如何将我的协议（插件）名称添加到协议字段中，以便如果我单击它，我的插件会动态加载并变得可见？应修改 Wireshark 代码的哪一部分？

嗨，我浏览了一些数据并在 Wiresshark 中捕获了痕迹。无论如何或过滤器，我们可以获取所有获取请求并且仅在 Wireshark 中有响应。