前端之家

  1. 首页
  2. 问答

text2pcap未检测到以下格式

问答

我正在尝试将从路由器获得的十六进制转储转换为pcap。 我的输入格式如下所示

0
   0000:  70E42273 90D2003A 7D36A502 81000183   p."s...:}6......
   0010:  080045C0 003BB1BF 40000106 8FA20A10   ..E..;..@.......
   0020:  91BD0A10 91BEAC03 00B313C4 EE96E803   ................
   0030:  1C875018 3D41832D 0000FFFF FFFFFFFF   ..P.=A.-........
   0040:  FFFFFFFF FFFFFFFF FFFF0013 04         .............

 1
   0000:  003A7D36 A50270E4 227390D2 81000183   .:}6..p."s......
   0010:  08004500 00281097 40000106 319E0A10   ..E..(..@...1...
   0020:  91BE0A10 91BD00B3 AC03E803 1C8713C4   ................  
   0030:  EEA95010 7B534936 0000                ..P.{SI6..

 2
   0000:  003A7D36 A50270E4 227390D2 81000183   .:}6..p."s......
   0010:  08004500 003B1197 40000106 308B0A10   ..E..;..@...0...
   0020:  91BE0A10 91BD00B3 AC03E803 1C8713C4   ................
   0030:  EEA95018 7B534508 0000FFFF FFFFFFFF   ..P.{SE.........
   0040:  FFFFFFFF FFFFFFFF FFFF0013 04         .............

text2pcap不接受上述格式,因为text2pcap需要

   0000:  70 E4 22 73 90 D2 00 3A 7D 36 A5 02 81 00 01 83
   0010:  08 00 45 C0 00 3B B1 BF 40 00 01 06 8F A2 0A 10

是否有可用的转换器工具或脚本?

colin2625 回答:text2pcap未检测到以下格式

是否有可用的转换器工具或脚本?

如您所知,text2pcap当前不支持此数据格式;但是,我已经打开了 Wireshark 错误报告,以便有一天 text2pcap 可以本地支持以这种格式读取数据。随时关注Wireshark Bug 16193 - text2pcap could be enhanced to accept input in other formats,以获取对此增强请求的任何更新。

同时,您将不得不编写您自己的脚本/命令,找人为您编写脚本/命令,或使用/修改现有的脚本/命令,以便将数据转换为可读取的格式 text2pcap 。为了帮助您入门,我为您提供了一种似乎可以在我的测试中起作用的方法。假设您的输出保存在dump.in文件中,则可以运行以下命令:

cat dump.in | sed 's/\([0-9A-F]\{2\}\)/\1 /g' | sed 's/\([0-9A-F]\{2\}\) \([0-9A-F]\{2\}\) :  /\1\2  /g' > dump.out

catsed在大多数平台上都应该可用。我实际上在Windows 10的Cygwin下运行了该命令。

注意:我不是 sed 专家,但是几乎可以肯定有 sed 专家可以解决这个问题。一次工作;我没时间花在这上面。

使用提供的命令,我能够将数据转换为 text2pcap 可以读取的格式,然后运行text2pcap -a dump.out dump.pcap以生成有效的pcap文件。运行tshark -r dump.pcap会产生以下输出:

1  387 2019-11-12 21:49:23.000000   0.000000 0.000000 10.16.145.189 → 10.16.145.190 BGP 77 KEEPALIVE Message
2  387 2019-11-12 21:49:23.000001   0.000001 0.000001 10.16.145.190 → 10.16.145.189 TCP 58 bgp(179) → 44035 [ACK] Seq=1 Ack=20 Win=31571 Len=0
3  387 2019-11-12 21:49:23.000002   0.000002 0.000001 10.16.145.190 → 10.16.145.189 BGP 77 KEEPALIVE Message

我认为这是正确的预期输出。

另请参阅:How to convert hex dump from 4 hex digit groups to 2 hex digit groups

ciscohexpcapwireshark
本文链接:https://www.f2er.com/3139240.html

大家都在问