atributos Wireshark / PCAP XML explicados

Question

atributos Wireshark / PCAP XML explicados

#1 resposta do (1 votos)

1

Estou gerando uma saída formatada em XML a partir de um dump do Wireshark usando o seguinte comando:

tshark -r my_wireshark_data.pcap -T pdml > my_wireshark_data.xml

Olhando para o arquivo XML gerado, não consigo descobrir o significado dos atributos pos e tamanho , que aparecem em todos os lugares. Alguém pode explicar ou fornecer um link para documentação?

Snippet de saída:

<pdml version="0" creator="wireshark/1.10.14" time="Mon Jun 20 15:27:45 2016" capture_file="my_wireshark_data.pcap">
<packet>
  <proto name="ip" ...>
    <field name="ip.version" showname="Version: 4" size="1" pos="14" show="4" value="45"/>
  </proto>
</pdml>

Além disso:

Por que o valor está definido como 45 em vez de 4 ?

Qual é a diferença entre o showname e o show ?

wireshark xml pcap

por atreyu 21.06.2016 / 16:16

1 resposta

Tags wireshark xml pcap

o Windows 10 não pode inicializar, erro 0xc000021a Abrindo o powerpoint com o Libre Office a partir do mac terminal

score 1 · Accepted Answer

Alguém pode explicar ou fornecer um link para documentação?

Why is value set to 45 instead of 4.

value (45) são os dados reais do pacote, em hexadecimal, que esse campo cobre
show (4) é a representação dos dados de pacote ( value ) como apareceria em um filtro de exibição.

What is the difference between showname and show?

showname é o rótulo usado para descrever esse campo na árvore de protocolos.

Este é geralmente o nome descritivo do protocolo, seguido por alguma representação do value .
show (4) é a representação dos dados do pacote ( value ) como apareceria em um filtro de exibição. (nesse caso, o número da versão)

The "<field>" tag

"<field>" tags can have the following attributes:

name - the display filter name for the field

showname - the label used to describe this field in the protocol tree. This is usually the descriptive name of the protocol, followed by some representation of the value.

pos - the starting offset within the packet data where this field starts

size - the number of octets in the packet data that this field covers.

value - the actual packet data, in hex, that this field covers

show - the representation of the packet data ('value') as it would appear in a display filter.

Some dissectors sometimes place text into the protocol tree, without using a field with a field-name. Those appear in PDML as "<field>" tags with no 'name' attribute, but with a 'show' attribute giving that text.

Fonte Protocolo de dissecação no formato XML