問題タブ [wireshark-dissector]

私はwiresharkバージョン1.6.4を使用しています。Wiresharkのストリーム番号に関して次の質問があります：

1）udpストリームが使用しないのに、tcpストリームが数値を使用するのはなぜですか？（「followtcp stream」を実行すると、「tcp.stream eq 2」と表示されますが、「follow udpstreams」を実行すると同じではありません）

2）会話に行き、選択したフロー（tcpまたはudp、あるいはその両方）を別のpcapファイルに保存したい。これら2つのストリームの2つのtcpフローと1つのudpフローを別のpcapファイルに保存する場合は、（tcp.stream eq 4 || tcp.stream eq 2 || udp.stream eq 1）のようなフィルターを使用することを考えました。このアプローチの問題は、会話ウィンドウにストリーム番号が表示されず、さらにudpストリームにストリーム番号が表示されないことです。また、最初に会話ウィンドウに移動して、保存するtcpフローを確認し（たとえば、バイト交換が最大のフローを保存したい場合）、そのフローを選択して、他のフローのストリーム番号などを確認する必要があります。これは非常に不便で時間がかかります。これを行うためのより良い方法はありますか？

どんな助けでも大歓迎です。どうもありがとう。

私は1000以上のtcpフローを持つ大きなpcapを持っています。100を超えるパケットを含む主要なフローをフィルタリングしたい。会話に移動してそれらのフローを右クリックすると、それらのフローをフィルタリングできますが、それを数回実行する必要があり、pcapが大きいため、それを超える可能性があります。 100.パケット数>n（nは任意の+ ve整数）のフローを提供する、使用できる他のクイック表示フィルターはありますか。

次のようなフィルターを言う：

それは私にそのようなすべての流れを与えることができます。

どうもありがとう、

どんな助けでも大歓迎です。

まず第一に、私はLuaにまったく慣れていません。これは、wiresharkディセクタを作成する最初の試みです。

私のプロトコルは単純です-2バイトの長さのフィールドの後にその長さの文字列が続きます。

Luaコンソールからコードを実行すると、すべてが期待どおりに機能します。

コードをWiresharkプラグインディレクトリに追加すると、エラーが発生します

Luaエラー：[string "C：\ Users ... \ AppData \ Roaming \ Wireshark ..."]：15：不正な自己に対して'add'を呼び出しています（予想される数、文字列を取得しました）

15行目は対応するt:add(f_text...行です。

実行方法の違いを誰かが説明できますか？

私はwiresharkのluaにディセクタを書き込もうとしています。ヘッダー フィールドのバージョンを解析する必要がある = 4 バイト (0x00000000)

私のコード:

「グローバル 'ベース' (nil 値) のインデックスを作成しようとしています」というエラーが表示されるのはなぜですか? 助けてください、私は多くのディセクタの例を調べましたが、解決策が見つかりません

パケット内のデータを int に変換しようとしていますが、うまくいきません。フィールドをサブツリーに正しく追加することはできますが、他の作業を実行するために整数としてデータにアクセスしたいと考えています。

下記の変数lenをintとして使えるようにしたいのですが、「tonumber」メソッドを使おうとすると「Nil」が返ってきます。「tostring」を使用して文字列に変換できますが、to number メソッドではどこにも行きません。

次のコードを使用して整数に変換する例をいくつか見ました。

しかし、自分のマシンで実行すると、次のエラーが発生します。

コメントされている場所を除いて、すべてを正しく実行するコードを次に示します。

私の質問は、ユーザーデータ型を操作できる整数に変換するにはどうすればよいですか?

だから私はリスナーのタップがどのように機能するかを見ています。この時点で私が思いついたのは次のとおりです。

パケットコールバックへのpinfoパラメーターを介してluaに公開されるものに関する完全なドキュメントを見つけることができませんでした。これまでのところ、*pinfo.abs_ts*を見つけました。tcp.options.timestamp.tsvalがnullであるか、常に誤った/不完全な情報が含まれているように見えるため、これはすばらしいことです。

pinfoを通じて正確に何が公開されますか？pinfo.abs_ts以外の場所で取得できる情報のリストはありますか？

Wireshark で Message Manufacturing Specification (MMS) を使用しています。このツールは、ACSE レイヤーを分析できません。エラーは表示されませんが、ACSE データが MMS の一部として表示されます。つまり、プレゼンテーション レイヤーの後に MMS が表示されます。Wireshark が両方のレイヤーを区別する方法がある場合は、親切に支援してください。

ありがとう。

IPv6ヘッダー（イーサネットヘッダーとIPv6ヘッダー）に到達するまで、tsharkですべてのヘッダーとフィールドを読み取り/再生できますが、pcapファイルを再生してicmpv6フィールドを読み取ろうとすると、これらのフィールドに何も表示されません。

これはtsharkのバグですか？パケットのすべてのヘッダーのすべてのフィールドを読み取るための代替ツールはありますか？

私が使用しているtsharkのバージョンは1.2.11です。

IPまたはサブネットがわからないデバイスがあります。Wireshark はこれらの両方を教えてくれますか? IPは10.3.253.xあたりだと思います....確かなことはわかりませんが、最も重要なことは、それがどのサブネットにあるのかわかりません...助けてください:/

Wireshark 1.8.2とLua 5.1を使用しています-

pinfo.cols列の 1 つからテキストを取得する方法はありますか? get()関数の補足が表示されません。またはのset()ようなことを行うと、常にプロトコルが出力されます...その場所の実際のテキスト文字列ではありません。message(pinfo.cols.protocol)message(tostring(pinfo.cols.protocol))

IEEE802a OUI Extended Ethertypeフレーム用に構築している非常に単純なディセクタがあります。
問題は、コードの 1 つのブランチで、プロトコルと情報列にテキストを設定できることです。もう一方のブランチでは、ディセクタが呼び出された後、これらの列がイーサネットとイーサネット IIで上書きされ続けます。 それは私が追跡しようとしているものです...