-
关于wireshark解码的问题
2016-09-19 07:32:35安装的wireshark在解析包的时候,响应包内一直是Error:Decompression failed 求解决。数据包是朋友试过的,可以解压,就只有我不可以。 -
Android Tcpdump抓包WireShark解码数据
2016-10-13 11:37:17tcpdump H264 android WireShark第一步获取数据
环境 Windows
- 进入cmd
- > adb shell => 进入adb shell 命令模式
- > tcpdump -s 1500 -w /sdcard/cmx.pcap
- 一系列发包收包的操作
- 回到cmd命令行中
- > adb pull /sdcard/cmx.pcpa c:/test
局部解析
- tcpdump -s 后面接的是大小, -w 接的是抓包写入的位置
- 上述操作6是将抓包文件取到Windows中
用WireShark解码数据
打开抓到的cmx.pacp文件
选中其中的一条数据,如目标端口47708的这条,将UDP转成RTP协议,因为该项目的RTP包承载在UDP上.
选择Decode As…选项,弹出一下窗口,再次选择RTP,选择OK.
通过加上udp.dstport==47708的过滤条件,如下显示
注意观察数据中PT=DynamicRTP-Type-98这个信息,因为这个项目中我们的H264是通过47708端口传输的,所以,我们把这个转成H264步骤如下
选择Edit->Preferences->弹出窗口->Protocols->H264->输入98既可完成配置如图
弹出窗口操作
填入类型映射
完成结果
-
如何让wireshark解码任意层的数据
2014-03-29 00:43:39前几天,需要解码iphone吐出的LTE-RRC数据包,对于协议解码,自然第一想到的是wireshark工具。但是wireshark的解码默认都是需要从其支持的链路层开始解码,否则是不能直接打开LTE-RRC数据包的,即使这个数据包存为了...前几天,需要解码iphone吐出的LTE-RRC数据包,对于协议解码,自然第一想到的是wireshark工具。但是wireshark的解码默认都是需要从其支持的链路层开始解码,否则是不能直接打开LTE-RRC数据包的,即使这个数据包存为了pcap文件格式。这是因为从iphone拿到的lte数据包,是从L3 RRC层开始的,并不包含链路层MAC、RLC等层。而实际上,这种情况是很多的,例如你有时只获取了TCP之上HTTP的数据包,没有底层,又想利用wireshark进行内容的详细解析。
那么,有办法不需要从代码上改造wireshark而能达到此功能吗?答案是肯定的。
我们知道,当wireshark读取pcap格式文件时,需要知道数据包的最底层协议类型,于是就从最底层协议开始依次往上层协议进行解码。wireshark支持的链路层协议类型多达上百种(支持的定义在http://www.tcpdump.org/linktypes.html)。而具体数据是那种链路层协议,是在数据捕获生成时就给定了,例如捕获以太网卡,就是以太类型,捕获wlan无线空口数据,就是802.11类型,捕获ss7 64k信令,就有MTP2等。但像LTE-RRC这种层3协议,想交给wireshark解码,保存为pcap文件时,链路层协议应该填多少呢?其实,pcap格式文件的链路层协议值,空出了几个给我们自己定义映射用的。他的范围是147~162(定义为:DLT_USER0 ~USER15)。
例如,这有个LTE-RRC BCCH_DL_SCH的PDU文件lte_rrc.dat(怎么把附件文件贴上来呢?)。需要把它保存为pcap文件,在linux下运行:
od -Ax -tx1 -v lte_rrc.dat | text2pcap -l 147 - lte_rrc.pcap
od命令用来用16进制格式输出数据,导入给text2pcap命令,生成pcap文件。-l 147参数,表示这个pcap数据的链路层协议值为147 (USER0类型)。
但这时候,用wireshark打开lte_rrc.pcap文件,还是不认,因为你并没有告诉wireshark 这个147的数据应该交给lte-rrc去解码。所以,需要对wireshark作配置。
配置步骤如下:
打开wireshark界面的Edit--> preferences-->protocols--> DLT_USER,界面如下:
点击Edit,出现编辑链路层数字对应协议的表。点击New,增加147对应得协议:
确定后,就能看到LTE-RRC的解码了,如何这个RRC数据包,含有LTE的NAS层数据,相应也解码出来了。
对与LTE-RRC数据,在这里存在2个问题:
一就是在增加User DLTs Table时,Payload Protocol协议应该怎么填?具体参考我也没有找到(有知道的请告我),目前,我是从代码中查看到的。在epan/dissector/packet-lte-rrc.c文件中,注册了一些PDU类型的解码,类似于这样:
payload protocol里面就应该根据数据是哪种PDU而填这里面的对应某种。new_register_dissector("lte-rrc.bcch.bch", dissect_BCCH_BCH_Message_PDU, proto_lte_rrc); new_register_dissector("lte-rrc.bcch.dl.sch", dissect_BCCH_DL_SCH_Message_PDU, proto_lte_rrc); new_register_dissector("lte-rrc.mcch", dissect_MCCH_Message_PDU, proto_lte_rrc); new_register_dissector("lte-rrc.pcch", dissect_PCCH_Message_PDU, proto_lte_rrc); new_register_dissector("lte-rrc.dl.ccch", dissect_DL_CCCH_Message_PDU, proto_lte_rrc); new_register_dissector("lte-rrc.dl.dcch", dissect_DL_DCCH_Message_PDU, proto_lte_rrc); new_register_dissector("lte-rrc.ul.ccch", dissect_UL_CCCH_Message_PDU, proto_lte_rrc); new_register_dissector("lte-rrc.ul.dcch", dissect_UL_DCCH_Message_PDU, proto_lte_rrc); new_register_dissector("lte-rrc.ue_cap_info", dissect_UECapabilityInformation_PDU, proto_lte_rrc); new_register_dissector("lte-rrc.ue_eutra_cap", dissect_lte_rrc_UE_EUTRA_Capability_PDU, proto_lte_rrc);
二就是,从手机获取的数据包有很多种PDU,有BCCH_DL_SCH的,有BCCH _BCH的,有DL_CCCH、DL_DCCH 。。。。等等。肯定不能都设置为147,一个pcap文件也不能设置成多种。怎么办?这就需要使用wireshark的命令行程序tshark了,因为命令行程序很方便跟脚本、程序等对接,这个后续再写。
上面只是以LTE-RRC为例来如何配置让wireshark支持解任意层协议的数据。
好了,让wireshark接任意层协议的基本方法就是这样。
-
wireshark diameter协议解码问题
2019-12-23 17:32:39wireshark正确将tcp&sctp解析为diameter协议 在现网中经常使用到diameter协议,例如EPC的Gx,Gy,S6a接口,IMS网络中有更多的是diameter接口,一般与PCRF和HSS交互的接口使用的都是diameter协议。 但是有时候...wireshark正确将tcp&sctp解析为diameter协议
在现网中经常使用到diameter协议,例如EPC的Gx,Gy,S6a接口,IMS网络中有更多的是diameter接口,一般与PCRF和HSS交互的接口使用的都是diameter协议。
但是有时候我们wireshark抓到的diameter数据包,打开时没能正确显示成diameter协议,所以我们就无法看到里面承载的信息,我们知道wireshark软件查看数据包就是识别网络并解析网络协议的功能。wireshark之所以没有解析出diameter协议,就是因为其没有识别到此协议,所以我们需要对diameter的协议端口(上层协议识别下层协议的端口)进行手动解码,就是让wireshark关联diameter协议解码。
例如如下分别是sctp和tcp承载的diameter协议无法协议的情况:
- 1、我们首先看下tcp协议承载diameter协议的解码问题
光标放在需要解码的数据包右键选择协议解码,在如下栏选择diameter即可,效果如下:
有没有发现有个问题,4个tcp的diameter包,只解码了前两个,后两个还是tcp协议,这是为啥呢,我们看#7,9号包的tcp层的序列号都是1,tcp自动做重传分析时因为tcp层序列号相同认为是重传,所以没有解码,下面我们处理一下,关闭tcp层的重传分析。
编码》首选项》protocol,找到tcp协议,将如下框里的勾去掉,就一切OK,如下,不过记得如果以后分析实际tcp协议数据包时候,需要wireshark帮助做重传分析时记得再勾选上,否则wireshark不会自动给做重传分析。
- 2、sctp承载diameter的解码
注意:有点不同吆
同样光标放到要解码包,右键选中协议解码,找到用diameter解析,不过有时候可能wireshark没有识别到sctp协议和端口,需要我们手动去指定,如下:
看下数据包里实际的sctp端口号
在当前处选择diameter解析即可。总结延申:
实际这种方法在wireshark里可以广泛使用,不仅仅时diameter不能解析时使用,其他协议也适用,而且如果某个协议解析不如我们意,我们也可以去研究一下协议首选项,找到该协议,看看是不是某些项需要勾选,或者多勾选了。
--------如有问题需要讨论可以给我留言哦 -
wireshark导出解码后的报文内容
2012-07-07 10:35:04Wireshark可以对抓到的报文进行解码并显示出来,如何把显示的文本内容保存下来以便进行报文内容比对? 1. 选择 "File" -> "Export" -> "File", 输入文件名,需要自己加.txt后缀 2. 选择 "Save as Type" 为 ...Wireshark可以对抓到的报文进行解码并显示出来,如何把显示的文本内容保存下来以便进行报文内容比对?
1. 选择 "File" -> "Export" -> "File", 输入文件名,需要自己加.txt后缀
2. 选择 "Save as Type" 为 "Plain Text"
3. 选中 "Packet Range" 的 "Displayed"
4.选择其他选择,一般我们要选择 "Packet Details" -> "All Expanded" 或者 "As displayed"
保存之后就可以使用文本比较工具方便的进行报文比较。
-
SMGP解码器 for Wireshark
2013-09-16 15:43:28Wireshark插件:SMGP协议解码器,适合SMS协议分析、问题定位等 -
wireshark抓包解码问题
2016-05-17 06:07:09老师给了一个cap文件,是一个邮箱登录的过程。让我们从中找出账号密码。 可是抓出来的数据完全看不懂啊,网上也找不到教程,问下有没有人能推荐书或者是帖子啊 还有,密码是不是存在黑色的乱序报文这一块啊??? -
wireshark捕获配置_配置Tomcat和Wireshark捕获和解码SSL通信
2020-07-06 04:16:25在这种情况下,您可以使用Wireshark之类的工具,该工具可以捕获系统中的所有网络流量并让您读取。 这通常提供解决问题所需的见解。 如果您的系统使用SSL来确保通信的安全,则可以捕获网络流量,但是这些流量均... -
wireshark lua插件解码私有协议
2018-08-13 13:54:21下面定义 foo 解析器的主函数,这个函数由 wireshark调用 第一个参数是 Tvb 类型,表示的是需要此解析器解析的数据 第二个参数是 Pinfo 类型,是协议解析树上的信息,包括 UI 上的显示 第三个参数是 TreeItem ... -
关于wireshark包体的中文解码
2016-09-21 20:19:26在使用wireshark抓包分析时,有时会碰到字符编码格式的问题,如下 从content-type可以看出文本的编码格式,然后选择相应的工具,复制需要解码的文本进行解码即可,如下: 解码后: -
wireshark
2021-02-18 19:31:36wireshark 抓包嗅探协议分析 抓包引擎 windows: winpcap linux: libpcap 解码能力强 设置 混杂模式 勾选后,会抓取未发给本机的数据信息 capture - options 保存文件 保存为pcap模式 首选项 edit -... -
Wireshark对ping报文的解码显示(BE与LE) 转自作者:易隐者
2015-04-26 19:43:00Wireshark对ping报文的解码显示(BE与LE) 我们非常熟悉ping报文的封装结构,但是,在这个报文解码里,我们发现wireshark的解码多了几个参数:Identifier(BE)、Identifier(LE)、Sequence number(BE)、Sequence... -
计算机网络---wireshark学习
2014-08-29 09:49:491. Wireshark 还提供了更高级的表达式特性,请看如下表达式 ...对象 http 就是 wireshark 解码以后的 http 数据部分 http[5:2] 就是指从 下标 5 开始的两个字节,请思考一下这样的http 请求 GET /pu***** 怎 -
完美支持5G 所有标准口消息(嵌套解码)的wireshark版本
2021-01-06 15:45:45Running on 64-bit Windows 10 (1909), build 18363, with Intel(R) Core(TM) i5-7200U CPU @ 2.50GHz (with SSE4.2), with 8056 MB of physical memory, with locale Chinese (Simplified)_China.utf8, with light ... -
Wireshark-win32-1.8.2网络协议分析软件\数据包的解码
2012-12-23 17:50:34Wireshark-win32-1.8.2网络协议分析软件\数据包的解码.在分析网络数据和判断网络故障问题中,都离不开网络协议分析软件(或叫网络嗅探器、抓包软件等等)这个“利器”,通过网络协议分析软件我们可以捕获网络中正常... -
Wireshark对ping报文的解码显示(BE与LE) 原文http://www.vants.org/?post=133
2016-11-04 10:37:16我们非常熟悉ping报文的封装结构,但是,在这个报文解码里,我们发现wireshark的解码多了几个参数:Identifier(BE)、Identifier(LE)、Sequence number(BE)、Sequence number(LE),如下图所示: 以前... -
02wireshark
2019-10-03 19:28:21解码能力很强悍! wireshark的基本使用 1.在kali linux中打开wireshark 2.选择抓包网卡 3.混杂模式 - 1.混杂模式的意思是可以抓取跟这块选中网卡在同一局域网内的所有数据包 3. 2.不开启混杂模式的话,那么只有从... -
wireshark 在windows7上对TLS/SSL解码无效
2010-04-30 11:17:00EAP-TLS PEAP中均用到TLS,windows7上抓的包总提示Mlformed Packet: SSLgoogle寻找,找到一篇说这是bughttps://bugs.wireshark.org/bugzilla/show_bug.cgi?id=4535 说的是在svn42345以上解决了,看了看我的1.2.7... -
使用WireShark分析HTTP协议时几种常见的汉字编码及其解码方法小结
2017-01-09 14:32:40使用WireShark分析HTTP协议时几种常见的汉字编码 本文由CSDN-蚍蜉撼青松【主页:http://blog.csdn.NET/howeverpf】原创,转载请注明出处! 在使用WireShark分析HTTP协议的过程中,我们自然是首先要完成解密... -
writeup wireshark
2018-04-17 20:24:061.统计->对话 选择发包最多的会话作为过滤条件2.发现bas64,iamge001.png将base64...将密钥导入wireshark编辑->首选项->protocols->ssl->4.过滤出流量包中ssl对话追踪ssl流,... -
wireshark 编写lua插件,针对一般研发产出的tcp字节流进行解码
2017-05-04 09:27:25参考 ...一个例子, 端口14567端口的流量进行分析,目前只有一个在第24个字节处,取出1个字节进行分析,编号是否为7 sdga_proto = Proto("sdga","SDGA","sdga protocol") function sdga_proto.dissector(buffer,pinfo,... -
Wireshark工控协议
2015-12-02 20:58:00Wireshark是一个强大开源流量与协议分析工具,除了传统网络协议解码外,还支持众多主流和标准工控协议的分析与解码。序号 协议类型 源码下载 简介 1 Siemens S7 ... -
wireshark怎么抓包_MacOS 下 Wireshark 抓取 Chrome HTTPS
2020-11-24 22:41:58本文主要介绍怎么配置 Wireshark,以及 Chrome 浏览器来实现解码 HTTPS 的流量。配置方式Chrome 启动设置Chrome 启动参数需要配置如下内容:--user-data-dir 配置用户使用数据--ssl-key-log-file 配置 ssl-key-... -
DDCTF 2019 writeup Wireshark
2019-04-20 01:35:25DDCTF 2019 Wireshark写在最前分析数据包分析文件解码 写在最前 总的来说这是一道挺常规的Wireshark分析题,一般的wireshark题的信息总是隐藏在http的url,html或者图片里面,所以一般拿到Wireshark的题直接奔http就... -
Wireshark抓包分析语音
2016-02-25 14:31:30貌似Wireshark只能解码G.711格式的语音流,其他编码的点了play无声音 -
wireshark C插件开发
2019-04-22 10:46:071. Wireshark对C插件的支持 每个解析器解码自己的协议部分, 然后把封装协议的解码传递给后续协议。 因此它可能总是从一个Frame解析器开始, Frame解析器解析捕获文件自己的数据包细节(如:时间戳), 将数据交给一个...
-
昆仑万维业绩快报:2020年净利润47.75亿元 同比增269%
-
Liunx 优化思路与实操步骤
-
细节让网页设计与众不同
-
项目管理工具与方法
-
Jsplumb从入门到实战
-
智能停车场云平台(附vue+SpringBoot前后端项目源码)
-
精益用户体验(UX):摆脱只注重结果的工作
-
C++代码规范和Doxygen根据注释自动生成手册
-
CSRFTester:一款CSRF漏洞的安全测试工具
-
花旗将老虎证券目标价上调365%、将富途控股目标价上调106%
-
nasm: error: more than one input file specified 原因
-
Employee_Tracker_ManageYourCompany:BCS家庭作业周12-源码
-
PlutoniumEnergy:用于Factorio的Plutonium Energy mod-源码
-
FTP 文件传输服务
-
第十一届蓝桥杯第二题寻找2020输入文件(2020.txt)
-
shockwave网站::rocket:ShockWave Inc.网站-源码
-
PPT大神之路高清教程
-
ScrapytIems.py
-
新政后上海楼市现奇葩业主:建群广拉中介 “传销式”寻接盘侠
-
移动手机用户体验的三个层次