问题标签 [wireshark-dissector]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
wireshark - saving some selected flows in a separate pcap file using wireshark
i am using wireshark Version 1.6.4. i have following questions regarding the stream numbers in wireshark :
1) why is it that tcp streams use numbers while udp streams don't ? (when i do "follow tcp stream" it shows say "tcp.stream eq 2" but it is not the same when i do "follow udp streams)
2) i go to conversations and i want to save some selected flows (tcp or udp or both) in a separate pcap file. i thought of using some filter like (tcp.stream eq 4 || tcp.stream eq 2 || udp.stream eq 1) if i want to save 2 tcp flows for these two streams and one udp flow in a separate pcap file. Now the issue with this approach is that conversation window doesn't show up the stream no's & further udp streams don't have the stream no. Also i need to go to conversation window first to see which tcp flows to save (say i want to save some flows having maximum bytes exchange) and then select that flow to see its stream number and so on for other flows as well. This is very inconvenient and time consuming. Is there some better way to do this.
any help will be greatly appreciated. thanks a lot.
wireshark - 在wireshark的巨大pcap中立即选择主要流
我有一个超过 1000 个 tcp 流的大型 pcap。我想过滤大于 100 的数据包的主要流。如果我去对话并右键单击这些流,我可以过滤这些流,但是我必须做几次,因为我有巨大的 pcap,它可能会超过100. 有没有我可以使用的其他快速显示过滤器,它会给我的数据包数> n(n 是任何+ve 整数)的流。
说一些过滤器,例如:
这可以给我所有这样的流量。
多谢,
任何帮助将不胜感激。
lua - Lua中的Wireshark解剖器
首先,我完全是 Lua 新手,这是我第一次尝试编写一个wireshark 解析器。
我的协议很简单——一个 2 字节长度的字段,后跟一个该长度的字符串。
当我通过 Lua 控制台运行代码时,一切都按预期工作。
将代码添加到 Wireshark 插件目录时,出现错误
Lua 错误:[string "C:\Users...\AppData\Roaming\Wireshark..."]:15: call 'add' on bad self(期望数字,得到字符串)
第 15 行对应的是t:add(f_text...行。
谁能解释执行方法之间的差异?
lua - 在协议字段创建中发出“尝试索引全局“基础”的问题
我尝试在 lua 上为wireshark 编写解剖器。我需要解析头字段版本= 4字节(0x00000000)
我的代码:
为什么我收到错误'尝试索引全局'基础'(零值)'?你能帮忙吗,我浏览了很多解剖器的例子,但我找不到解决方案
lua - 如何使用 Lua Dissector 在 Wireshark 中将数据从数据包转换为整数?
我正在尝试将数据包内的数据转换为 int,但它不起作用。我能够正确地将字段添加到子树中,但希望能够以整数形式访问数据以执行其他一些工作。
我希望能够将下面的变量 len 用作 int,但是当我尝试使用“tonumber”方法时,会返回“Nil”。我可以使用“tostring”将其转换为字符串,但使用 to number 方法无济于事。
我看到了一些使用以下代码转换为整数的示例:
但是当我在我的机器上运行它时会产生以下错误:
这是我拥有的代码,除了注释之外,它可以正确执行所有操作:
所以我的问题是如何将 userdata 类型转换为可以使用的整数?
lua - lua tshark 侦听器的 pinfo 参数中可以使用哪些信息?
所以我正在研究监听器水龙头是如何工作的。我现在想出的是:
我一直无法找到任何关于通过包回调的 pinfo 参数暴露给 lua 的内容的完整文档。到目前为止,我已经找到了 *pinfo.abs_ts*。这很好,因为tcp.options.timestamp.tsval似乎一直为空或包含不正确/不完整的信息。
通过 pinfo 究竟暴露了什么?除了 pinfo.abs_ts 之外,是否有我可以在其他地方提取的信息列表?
wireshark - Wireshark 不区分 ACSE 和 MMS PDU
我正在使用wireshark 中的消息制造规范(MMS)。该工具无法剖析 ACSE 层。它不显示任何错误,但将 ACSE 数据显示为 MMS 的一部分,即在表示层之后,显示 MMS。如果wireshark有办法区分这两个层,请提供帮助。
谢谢。
networking - tshark 无法读取 icmp6 字段
我可以使用 tshark 读取/重放所有标头和字段,直到达到 IPv6 标头(以太网标头和 IPv6 标头),但是当我尝试重放 pcap 文件以读取 icmpv6 字段时,这些字段没有显示任何内容。
这是tshark的错误吗?是否有任何替代工具可以读取数据包所有标头中的所有字段?
我使用的 tshark 版本是 1.2.11
wireshark - Wireshark 可以告诉我设备所在的 IP 和子网吗?
我有一台设备,我不知道它所在的 IP或子网。Wireshark 能告诉我这两件事吗?我认为ip 大约在 10.3.253.x....只是不确定,最重要的是我不知道它在哪个子网上.....帮助:/
lua - 从 Lua pinfo 中的列中检索文本
我正在使用Wireshark 1.8.2和Lua 5.1 --
有没有办法从pinfo.cols列之一检索文本?我没有看到对该函数的get()补充set(),如果我只是执行类似message(pinfo.cols.protocol)or的操作message(tostring(pinfo.cols.protocol)),它总是只打印协议……而不是该位置的实际文本字符串。
我正在为IEEE802a OUI Extended Ethertype帧构建一个非常简单的解析器。
问题是,在我的代码的一个分支中,我可以很好地设置协议和信息列中的文本。在另一个分支中,在我的解剖器被调用后,这些列不断被以太网和以太网 II覆盖。 这就是我要追查的...