如何从pcap文件中提取数据
how to extract data from pcap file
我有几个pcap文件,在wireshark中可以看到memcache协议和对应的数据,但是用tshark批量导出数据时,只显示一个字符(0x0b),为什么?
我使用的命令:tshark -Y "memcache contains set" -r input.pcap -T fields -e memcache.value
谢谢!
顺便说一句,内存缓存密钥工作正常。我不能在这里分享这些文件,因为它们是机密文件。
适合我:
$tshark -r 3006-example.cap -Y "memcache.command==set" -T fields -e memcache.value
hello, world!
noreplyset
测试文件:附加到 Wireshark bug 3467
我确实注意到 0x0b 不是可打印的 ascii 字符。 memcache 解析器假定 'value' 是一个 ascii 字符串。
如果您查看捕获文件中相应数据包中的 'value' 字段,它是否是 ascii 字符串?
编辑:查看 memcache protocol spec, it appears that the 'value' field should be treated as "unstructured data" and not as an ascii string. Please feel free to file a bug report at bugs.wireshark.org
我有几个pcap文件,在wireshark中可以看到memcache协议和对应的数据,但是用tshark批量导出数据时,只显示一个字符(0x0b),为什么?
我使用的命令:tshark -Y "memcache contains set" -r input.pcap -T fields -e memcache.value 谢谢! 顺便说一句,内存缓存密钥工作正常。我不能在这里分享这些文件,因为它们是机密文件。
适合我:
$tshark -r 3006-example.cap -Y "memcache.command==set" -T fields -e memcache.value
hello, world!
noreplyset
测试文件:附加到 Wireshark bug 3467
我确实注意到 0x0b 不是可打印的 ascii 字符。 memcache 解析器假定 'value' 是一个 ascii 字符串。
如果您查看捕获文件中相应数据包中的 'value' 字段,它是否是 ascii 字符串?
编辑:查看 memcache protocol spec, it appears that the 'value' field should be treated as "unstructured data" and not as an ascii string. Please feel free to file a bug report at bugs.wireshark.org