摘要: 由于研究需要,用wireshark抓取了大量的modbus-tcp的数据包。由于需要对这些数据进行分析,而要分析的数据包又非常多,所以想要只分析每个报文的特定字段。 于是在网上找wireshark如何保存报文的特定字段。有部分人的做法是“自己动手,丰衣足食” (winpcap/libpcap抓包,用 阅读全文
posted @ 2012-11-14 21:12 ijustwanttorun 阅读(10865) 评论(1) 推荐(1) 编辑
摘要: 出于安全性的考虑,很多网络应用可能用比较强的安全算法加密传输的数据,从而导致抓包这一强大的网络分析工具成为鸡肋,SNMP v3就是这么个例子。Wireshark自带有配置usmUser的例子,可以自动调用netsnmp的库来完成揭秘,但对于Unix程序而言,GUI的工具本身还是有诸多不便,没有CLI工具来的舒服自然,另外的一个问题是,通过自己配置usmUser,似乎一直无法成功解码。翻看Wireshark的文档的时候,发现一个强大的小工具很适合配合脚本发挥威力:tshark;想到Python,马上实现了一个不错的小工具。tshark本身可以支持很多选项,几乎涵盖了wireshark大部分常用功 阅读全文
posted @ 2012-11-14 19:38 ijustwanttorun 阅读(769) 评论(0) 推荐(0) 编辑
摘要: Tcpdump是网络协议分析的基本工具。tshark是大名鼎鼎的开源网络协议分析工具wireshark (原名叫ethereal)的命令行版本,wireshark可对多达千余种网络协议进行解码分析。Wireshark和tcpdump均使用libpcap库(参见libpcap编程教程)进行网络截包。TCPDUMP详细manpage参见tcpdump网站。基本用法Tcpdump的参数基本分为两块:选项(options)和过滤器表达式(filter_expression)。# tcpdump [options] [filter_expression]例如# tcpdump -c 100 -i eth 阅读全文
posted @ 2012-11-14 19:37 ijustwanttorun 阅读(1055) 评论(0) 推荐(0) 编辑
摘要: 命令形的 wireshark,有同 tcpdump1mantshark捕包樹狀解析1tshark -V十六進制,ASCII 解析1tshark -x指定界面,保留檔名1tshark -i <界面> -w <檔名>指定界面,保留檔名,指定重覆保留最大檔數量,停止捕包大小(有 -b 就有 -a?)1tshark -i <界面> -w <檔名> -b <保留檔數量> -a filesize:<捕包大小>讀檔,顯示過濾條件,存檔1tshark -r <讀檔名> -w <存檔名> -R <過碌條件> 阅读全文
posted @ 2012-11-14 19:26 ijustwanttorun 阅读(569) 评论(0) 推荐(0) 编辑