Wireshark / PCAP XML-Attribute werden erläutert

842
atreyu

Ich generiere XML-formatierte Ausgabe aus einem Wireshark-Dump mit dem folgenden Befehl:

tshark -r my_wireshark_data.pcap -T pdml > my_wireshark_data.xml

Mit Blick auf die generierte XML-Datei kann ich nicht die Bedeutung der pos- und size- Attribute herausfinden, die überall auftreten. Kann jemand erklären oder einen Link zur Dokumentation geben?

Ausgabeausschnitt:

<pdml version="0" creator="wireshark/1.10.14" time="Mon Jun 20 15:27:45 2016" capture_file="my_wireshark_data.pcap"> <packet> <proto name="ip" ...> <field name="ip.version" showname="Version: 4" size="1" pos="14" show="4" value="45"/> </proto> </pdml>

Ebenfalls:

Warum wird Wert auf 45statt gesetzt 4?

Was ist der Unterschied zwischen showname und show ?

1

1 Antwort auf die Frage

1
DavidPostill

Kann jemand erklären oder einen Link zur Dokumentation geben?

Warum ist der Wert auf 45 anstelle von 4 eingestellt.

  • value (45) sind die tatsächlichen Paketdaten in Hex, die dieses Feld abdeckt

  • show(4) ist die Darstellung der Paketdaten ( value), wie sie in einem Anzeigefilter erscheinen würden.

Was ist der Unterschied zwischen showname und show?

  • showname ist das Label, mit dem dieses Feld im Protokollbaum beschrieben wird.

    Dies ist normalerweise der beschreibende Name des Protokolls, gefolgt von einigen Darstellungen des Protokolls value.

  • show(4) ist die Darstellung der Paketdaten ( value), wie sie in einem Anzeigefilter erscheinen würden. (in diesem Fall die Versionsnummer)

Das <field>Tag " "

" <field>" Tags können folgende Attribute haben:

  • name - der Name des Anzeigefilters für das Feld
  • showname- das Label, mit dem dieses Feld im Protokollbaum beschrieben wird. Dies ist normalerweise der beschreibende Name des Protokolls, gefolgt von einigen Darstellungen des Werts.
  • pos - der Startversatz innerhalb der Paketdaten, an denen dieses Feld beginnt
  • size - die Anzahl der Oktette in den Paketdaten, die dieses Feld abdeckt.
  • value - die tatsächlichen Paketdaten in Hex, die dieses Feld abdeckt
  • show - die Darstellung der Paketdaten ('Wert'), wie sie in einem Anzeigefilter erscheinen würden.

Einige Dissektoren platzieren manchmal Text in den Protokollbaum, ohne ein Feld mit einem Feldnamen zu verwenden. Diese erscheinen in PDML als " <field>" Tags mit keinem "name" -Attribut, aber mit einem "show" -Attribut, das diesen Text enthält.

Quelle Protokoll Dissection in XML - Format

Du hast es perfekt erklärt, danke. Prost auf den Link. atreyu vor 7 Jahren 0
Wenn ** value ** (45) `, von dem ich weiß, dass es die eigentlichen Paketdaten sind, hexadezimal ist, wie bezieht sich das auf ** show ** -Wert, in diesem Fall" 4 "? 45 hex ist 69 dezimal, also fehlt mir etwas. atreyu vor 7 Jahren 0
Soweit ich das beurteilen kann, wurde der "Wert" auch an anderen Stellen als "unmaskierter Wert" bezeichnet. Ich vermute, dass der Anzeigefilter den "Wert" extrahiert oder manipuliert, um ihn in "Show" umzuwandeln. Ich weiß nicht, wie und warum dies geschieht (ich bin kein Wireshark-Experte). DavidPostill vor 7 Jahren 0

Verwandte Probleme