问题标签 [wireshark]

我一直在尝试在 Fedora 14 上的 wireshark (1.5.0) 中编译一个小插件。有一个 C 文件调用 pv.c

我在插件下创建了一个目录并复制了我的 C 文件。然后我从 plugins/interlink 目录中获取 Makefile.am 和 Makefile.common 并修改以更改插件名称、版本和 SRC 目录。我还将 moduleinfo.h 复制到我的插件目录中。

以下是我对 Makefile.common 所做的更改：

以下是我对 Makefile.am 所做的更改：

我还调整了 $(wireshark)/plugins/Makefile.am/common 以将我的 pv 目录包含在要编译的插件下。我对根 Makefile.am 和 Makefile.common 做了同样的事情

但是在完成所有这些之后，在我进行构建时 ./configure 之后；我不断收到此错误“没有规则可以将目标设为‘全部’。停止”。我假设 make 过程会在我的插件目录中自动生成 plugin.c、makefile.in 和 makefile，然后该过程将继续。

有人能指出我在这里缺少链接的地方吗？

最好的问候奥马尔

我在wireshark 中查看了一个自定义协议。我认为如果wireshark可以为我解析它会很有用，这样我就不必解码十六进制。虽然我在我的程序日志中这样做了，但wireshark 会使用时间信息捕获整个对话，因此它在那里会更有用。

这很容易做到吗？

我正在关注 foo 解析器示例，但想知道如何编译它。

foo 解剖器示例显示在此链接中：http: //www.wireshark.org/docs/wsdg_html_chunked/ChDissectAdd.html

您会注意到它提到了 interlink 目录包含我可以使用的支持文件的好示例，并且我需要修改 Makefile.am 和 makefile.common 等。我已经修改了这些以反映 foo 模块。

但是，现在我想知道如何构建它。我尝试运行 automake，但它抱怨没有 configure.in。抱歉，我对 gnu 构建环境还不太熟悉。

另外，是否可以独立构建此模块？还是我需要所有其他可用的wireshark 资源？我当然在ubuntu下安装了wireshark-dev。

pcap_loop 和 pcap_dispatch 之间到底有什么区别？

我有一个有点奇怪的问题，我真的希望有人可以帮助解决这个问题：

我上大学，这里的无线网络每周都会发出一定的登录配额（我的是 2GB）。这意味着每周，我只能访问 2GB 的 Internet - 我的上传和下载总计不得超过 2GB（我可以访问告诉我剩余配额的网页）。我通常被允许一些宽限 KB，但我们不要考虑这个问题。

我的笔记本电脑运行 Ubuntu 并安装了 conky 系统监视器，我已将其配置为显示（除其他外）我剩余的无线配额。最初，我已经点击了网页并grep获得了剩余配额。但是，由于我的 conky 每 5 秒刷新一次，并且我的无线连接时间超过 12 小时，因此对网页本身的检查会杀死我的无线配额。

为了解决这个问题，我想我可以做以下两件事之一：

1. 访问网页的频率要低得多，这样就不会破坏我的配额。
2. 监控我的无线网卡上的无线流量并不断从 2GB 中减去它

(1) 是我到目前为止所做的：我设置了一个 cron 作业来每分钟访问一次网页并将结果存储在我的本地文件系统上的文件中。Conky 然后读取这个文件——不需要它访问网页；由于 conky，无线配额不会丢失。

这个解决方案是 12 倍的胜利，但这仍然不够。但是，我是实时数据的粉丝，不会进一步降低 cron 频率。

所以，我唯一的其他解决方案是（2）。这是我发现wireshark的时候，它是命令行版本的tshark。现在，这是我认为我应该做的：

1. 守护 tshark
2. 设置 tshark 以监控流经我的无线网卡的流量（以 KB 或 B 或 MB 为单位 - 我可以稍后转换）
3. 继续将此交通信息附加到 file1
4. 将file1中的流量信息相加，从2GB中减去。将结果存储在 file2 中
5. 将 conky 设置为读取 file2 - 这是我剩余的配额
6. 设置一个 cron 作业以在每周一上午 6.30 删除/erase_the_contents_of file1（那是每周配额重置的时间）

最后，我的问题：

1. 你有没有更好的方法来做到这一点？
2. 如果没有，我该如何设置 tshark 让它做我想做的事？我可能需要哪些其他脚本？

如果有帮助，网站会告诉我我的剩余配额是 KB

我已经看过tshark 手册页，不幸的是，这对我来说毫无意义，因为我是 network-n00b。

先感谢您。

我正在为自定义协议编写 Wireshark 解析器。但是，我有一个无符号 32 位整数的字段。它实际上是以小端形式传输的。我如何强制 Wireshark 将其解释为这样？

即我的 hf_register_info 结构包含

在我调用的解剖函数中

是否有任何选项可以捕获数据包 eg(Http) ，修改它的某些方面（校验和验证 False 为 True ）并使用 Wireshark 重新发送它？

目前我正在使用 usbmon 来嗅探 USB。为了更好地理解我想使用wireshark。我以前使用过wireshark 来嗅探以太网数据包。但是要捕获什么来嗅探 USB 数据包？我的意思是我需要首先选择要在wireshark中捕获的接口。但是我会为 USB 选择什么？

在阅读之前，请注意，我的处理器是 64 位的，所以我的操作系统是 Suse_10 for 64 位。

我正在尝试在 suse_10（64 位）上安装 wireshark。主机没有互联网访问权限。因此，我需要拥有安装所需的所有文件；这甚至是依赖项。这是为了能够在没有互联网连接的主机上安装wireshark。（Zypper，Yast 在没有连接时会抱怨。它会尝试不去网络并找到依赖项。）

目前，当我执行“rpm -i wireshark-devel-1.2.8-2.8.x86_64.rpm”之类的 rpm 命令时，我当然会得到简单地说需要依赖项的错误。

所以，我正在寻找的答案是，如果我可以制作一个包含所有内容的“包”，以及能够执行完美安装所需的一切。

当然，如果答案是肯定的，你能告诉我怎么做吗？

我将衷心感谢您的帮助。

或者，一位朋友谈到了“aptoncd”。这适用于 ubuntu。如果我理解我的朋友，这个软件可以制作我想要的包。但是，我可以为“suse_10”使用什么软件。

如果我能找到该软件，我正在考虑将 Suse_10 安装到我的计算机上，然后使用该程序我将能够制作一个包（其中包含所需的一切）。

然后，我会把这个包带到我试图安装wireshark的主机上。

你能帮忙吗？

先感谢您..

我正在检查的痕迹有点问题。我知道如果窗口大小随着每个段之间发送的 ACK 数量的增加而增加，并且它会随着 ACK 段的大小而增加，则连接启动缓慢。但是，我的跟踪开始显示的数字不相加（下面的屏幕截图）。我不知道数据包 6 的窗口大小是如何计算的，因为数学并没有与之前的窗口大小和中间的 ACK 相加。任何人都可以对此有所了解吗？

我也不知道如何发现慢启动何时成为避免拥塞。有什么我可以在跟踪中注意的吗？

慢启动似乎只持续到数据包 13，所以我是否应该假设拥塞避免已经接管？

http://img10.imageshack.us/f/tcptrace.jpg/

感谢您提供的任何帮助！对此，我真的非常感激