В целях обучения я хотел бы проанализировать свои рукописные шестнадцатеричные пакеты Ethernet с помощью Wireshark. Я пытался записать шестнадцатеричные значения в текстовый файл и импортировать их в Wireshark, но программа ничего не отображает.

Как можно проанализировать ввод с клавиатуры с помощью Wireshark?

1 ответ1

1

Шестнадцатеричные байты должны быть в формате, который ожидает text2pcap . Вы можете использовать вспомогательный инструмент text2pcap для командной строки Wireshark , чтобы преобразовать текстовый файл в файл pcap (или файл pcapng через опцию -n ), или вы можете использовать сам Wireshark.

Как указывало barlop, вы можете начать с простого пакета (или небольшого количества пакетов) в Wireshark и экспортировать его в текстовый файл с помощью метода Wireshark File -> Export Packet Dissections -> as "Plain Text" file... для того, чтобы увидеть полученный результат. Если вы это сделаете, обязательно отмените выбор параметров "Сводная строка пакета" и "Сведения о пакете" и выберите "Байты пакета"; в противном случае вы не увидите ожидаемый результат.

Если вы хотите сохранить временную метку пакета, вам нужно ее экспортировать. Для этого я бы предложил создать новый профиль Wireshark, который содержит только столбец абсолютного времени, а затем при выполнении экспорта выберите "Сводная строка пакета", но снимите флажок "Включить заголовки столбцов". Это запишет временную метку в текстовый файл, который позже может использовать Wireshark или text2pcap при его импорте.

В Wireshark вы должны импортировать текстовый файл, используя File -> Import from Hex Dump... и установить флажок «Дата / Время», если вы хотите, чтобы Wireshark использовал любые сохраненные временные метки; формат по умолчанию "% F% T." должно работать просто отлично. Обратитесь к Руководству пользователя Wireshark для получения дополнительной информации.

При использовании text2pcap вы можете использовать что-то вроде следующего для создания файла pcap из текстового файла, который Wireshark может открыть:

text2pcap -a -t "%F %T." input.txt output.pcap

Вот пример текста, представляющего пару эхо-запроса / ответа ICMP, чтобы вы могли начать работу:

2017-01-12 12:30:00.000000000

0000  00 20 ee 00 00 02 00 20 ee 00 00 01 08 00 45 00   . ..... ......E.
0010  00 28 45 a7 00 00 80 01 71 78 c0 a8 01 64 c0 a8   .(E.....qx...d..
0020  01 01 08 00 a5 d0 00 01 00 3f 48 65 6c 6c 6f 20   .........?Hello 
0030  57 6f 72 6c 64 21                                 World!

2017-01-12 12:30:00.000001000

0000  00 20 ee 00 00 01 00 20 ee 00 00 02 08 00 45 00   . ..... ......E.
0010  00 28 45 a7 00 00 ff 01 f2 77 c0 a8 01 01 c0 a8   .(E......w......
0020  01 64 00 00 ad d0 00 01 00 3f 48 65 6c 6c 6f 20   .d.......?Hello 
0030  57 6f 72 6c 64 21 00 00 00 00 00 00               World!......

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .