1

Я генерирую вывод в формате XML из дампа Wireshark с помощью следующей команды:

tshark -r my_wireshark_data.pcap -T pdml > my_wireshark_data.xml

Глядя на сгенерированный файл XML, я не могу понять значение атрибутов pos и size , которые встречаются повсюду. Может кто-нибудь объяснить или дать ссылку на документацию?

Выходной фрагмент:

<pdml version="0" creator="wireshark/1.10.14" time="Mon Jun 20 15:27:45 2016" capture_file="my_wireshark_data.pcap">
<packet>
  <proto name="ip" ...>
    <field name="ip.version" showname="Version: 4" size="1" pos="14" show="4" value="45"/>
  </proto>
</pdml>

Также:

Почему значение равно 45 вместо 4?

В чем разница между показанным и показанным?

|источник

1 ответ1

1

Может кто-нибудь объяснить или дать ссылку на документацию?

Почему значение установлено на 45 вместо 4.

  • value (45) - это фактические данные пакета в шестнадцатеричном формате, которые охватывает это поле

  • show (4) - представление данных пакета (value) так, как оно будет отображаться в фильтре отображения.

В чем разница между показанным и показанным?

  • showname - это метка, используемая для описания этого поля в дереве протокола.

    Обычно это описательное имя протокола, за которым следует некоторое представление value .

  • show (4) - представление данных пакета (value) так, как оно будет отображаться в фильтре отображения. (в этом случае номер версии)

Тег <field>

Теги <field> могут иметь следующие атрибуты:

  • name - отображаемое имя фильтра для поля
  • showname - метка, используемая для описания этого поля в дереве протокола. Обычно это описательное имя протокола, за которым следует некоторое представление значения.
  • pos - начальное смещение в данных пакета, где начинается это поле
  • size - количество октетов в пакетных данных, которое охватывает это поле.
  • value - фактические данные пакета в шестнадцатеричном формате, которые охватывает это поле
  • show - представление данных пакета ('value'), как оно будет отображаться в фильтре отображения.

Некоторые диссекторы иногда помещают текст в дерево протокола, не используя поле с именем поля. Они отображаются в PDML как теги « <field> » без атрибута «name», но с атрибутом «show», дающим этот текст.

Рассмотрение исходного протокола в формате XML

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .