从 cap 文件中读取包数据
to read the packet data from a cap file
我需要从 pcap 文件中的 udp 数据包中读取有效负载信息。
tshark -x -c 10 -r traces/trace.pcap udp
0000 00 22 4d a8 1f 7f 80 3f 5d 08 52 35 08 00 45 00 “M....?].R5..E.
0010 05 94 03 e6 40 00 40 11 3b 46 c0 a8 ba 6c c0 a8 ....@.@.;F.l..
0020 ba 6f d4 80 05 dc 05 80 4e 9e 00 00 80 25 1b 3a .o ......N ....%.:
0030 fd 9e 00 00 00 01 00 00 00 06 5b 29 c2 5b 78 ed .........[].[x.
0040 00 00 1b 6f c2 5b 78 ed 00 00 1e c4 30 5b 00 00 ...o.[x.....0[..
0050 00 00 85 c7 09 00 00 00 00 00 01 00 00 00 06 00 ..................
0060 00 00 c0 07 1c 00 00 00 00 00 c0 07 3c 00 00 00 .....................<...
0070 00 00 c0 07 3c 00 00 00 00 00 78 78 78 78 78 78 ....<......xxxxxx
我从 tshark 获得了上述输出,但有效负载包括来自 udp 服务器的数据包到达和离开时间,我需要如何从上述信息中检索到达和离开时间。
要在 tshark 中将数据包打印为十六进制 (-x) 和带有时间戳的摘要,请添加 -P 选项。要将时间戳作为绝对值而不是相对值,请添加 -ta 选项。有关详细信息,请参阅 the documentation。
我需要从 pcap 文件中的 udp 数据包中读取有效负载信息。
tshark -x -c 10 -r traces/trace.pcap udp
0000 00 22 4d a8 1f 7f 80 3f 5d 08 52 35 08 00 45 00 “M....?].R5..E. 0010 05 94 03 e6 40 00 40 11 3b 46 c0 a8 ba 6c c0 a8 ....@.@.;F.l.. 0020 ba 6f d4 80 05 dc 05 80 4e 9e 00 00 80 25 1b 3a .o ......N ....%.: 0030 fd 9e 00 00 00 01 00 00 00 06 5b 29 c2 5b 78 ed .........[].[x. 0040 00 00 1b 6f c2 5b 78 ed 00 00 1e c4 30 5b 00 00 ...o.[x.....0[.. 0050 00 00 85 c7 09 00 00 00 00 00 01 00 00 00 06 00 .................. 0060 00 00 c0 07 1c 00 00 00 00 00 c0 07 3c 00 00 00 .....................<... 0070 00 00 c0 07 3c 00 00 00 00 00 78 78 78 78 78 78 ....<......xxxxxx
我从 tshark 获得了上述输出,但有效负载包括来自 udp 服务器的数据包到达和离开时间,我需要如何从上述信息中检索到达和离开时间。
要在 tshark 中将数据包打印为十六进制 (-x) 和带有时间戳的摘要,请添加 -P 选项。要将时间戳作为绝对值而不是相对值,请添加 -ta 选项。有关详细信息,请参阅 the documentation。