0

画面上の tshark で Diameter プロトコル (SCTP 経由) のメッセージをキャプチャしたい、展開します。

最初に、直径メッセージのみをフィルタリングするためのスイッチ「-f」の後に何を書くべきかを見つけることができませんでしたが、「直径」を受け入れるスイッチ「-R」を見つけました。
したがって、現在、私のコマンドは次のようになります。

tshark -i el0 -R diameter -V

少なくとも、パケットが十分に小さくなるまでは、これで問題ありません..

ただし、より大きなパケットの場合、エラーが発生し[Unreassembled Packet: DIAMETER] [Expert Info (Warn/Reassemble): Unreassembled Packet (Exception occurred)] [Message: Unreassembled Packet (Exception occurred)]
パケットは実際に出力で再構成されません。

私は解決策を探していましたが、以下の変更で最適化が行われる可能性があることがわかりました。

tshark -i el0 -R diameter -V -o ip.defragment:TRUE

しかし、それは役に立ちません。

この問題の簡単な解決策はありますか? (デフラグは後から何とか処理してもOKです..)

4

1 に答える 1

1

最後に私はそれを見つけました!

Wireshark には、いくつかのプロトコル関連のオプション用のチェックボックスがあります。特に、直径の最適化の場合は、チェックボックスをマークする必要があります

Reassemble fragmented SCTP user messages

長い直径のメッセージを適切に表示します。

これらのプロトコル オプションにはそれぞれtshark対応するパラメータがあり、ここでは を使用する必要があります
-o sctp.reassembly:TRUE

preferences(一般的には、 wireshark に属するファイルを探します。)

それで、最終的にどの方法が機能したかは

  1. 最初にすべての (sctp) メッセージを定期的にキャプチャします。

    tshark -i EL0 -f sctp -w raw_capture.pcap

  2. それが完了したら、次のtsharkコマンドでファイルを処理します。
    tshark -r raw_capture.pcap -R diameter -o sctp.reassembly:TRUE -V

于 2014-03-19T13:17:35.780 に答える