XML-атрибуты Wireshark / PCAP объяснены

802
atreyu

Я генерирую вывод в формате XML из дампа Wireshark с помощью следующей команды:

tshark -r my_wireshark_data.pcap -T pdml > my_wireshark_data.xml

Глядя на сгенерированный файл XML, я не могу понять значение атрибутов pos и size, которые встречаются повсюду. Может кто-нибудь объяснить или дать ссылку на документацию?

Выходной фрагмент:

<pdml version="0" creator="wireshark/1.10.14" time="Mon Jun 20 15:27:45 2016" capture_file="my_wireshark_data.pcap"> <packet> <proto name="ip" ...> <field name="ip.version" showname="Version: 4" size="1" pos="14" show="4" value="45"/> </proto> </pdml>

Также:

Почему значение установлено 45вместо 4?

В чем разница между показанным и показанным ?

1

1 ответ на вопрос

1
DavidPostill

Может кто-нибудь объяснить или дать ссылку на документацию?

Почему значение установлено на 45 вместо 4.

  • value (45) - это фактические данные пакета в шестнадцатеричном виде, которые охватывает это поле.

  • show(4) является представлением пакетных данных ( value), как это будет выглядеть в фильтре отображения.

В чем разница между показанным и показанным?

  • showname является меткой, используемой для описания этого поля в дереве протокола.

    Обычно это описательное имя протокола, за которым следует некоторое представление value.

  • show(4) является представлением пакетных данных ( value), как это будет выглядеть в фильтре отображения. (в этом случае номер версии)

<field>Тег " "

<field>Теги " " могут иметь следующие атрибуты:

  • name - отображать имя фильтра для поля
  • showname- метка, используемая для описания этого поля в дереве протокола. Обычно это описательное имя протокола, за которым следует некоторое представление значения.
  • pos - начальное смещение в пакетных данных, где начинается это поле
  • size - количество октетов в пакетных данных, охватываемых этим полем.
  • value - фактические данные пакета в шестнадцатеричном виде, которые охватывает это поле
  • show - представление пакетных данных («значение») в том виде, в котором оно отображается в фильтре отображения.

Некоторые диссекторы иногда помещают текст в дерево протокола, не используя поле с именем поля. Они отображаются в PDML как <field>теги « » без атрибута «name», но с атрибутом «show», дающим этот текст.

Рассмотрение исходного протокола в формате XML

Вы объяснили это отлично, спасибо. Приветствия за ссылку. atreyu 8 лет назад 0
Если ** значение ** `(45)`, которое, как я понимаю, является фактическими данными пакета, находится в шестнадцатеричном виде, как это относится к ** отображать ** значение, в данном случае `4`? 45 шестнадцатеричных - 69 десятичных, поэтому я что-то упустил. atreyu 8 лет назад 0
Насколько я могу судить, в некоторых других местах «значение» также называлось «немаскированным значением». Я предполагаю, что фильтр отображения извлекает или манипулирует значением, чтобы превратить его в шоу. Я не знаю деталей того, как или почему это происходит (я не эксперт по Wireshark). DavidPostill 8 лет назад 0

Похожие вопросы