問題タブ [wireshark-dissector]

wireshark-dissector で受信したパケット サイズを読み取るにはどうすればよいですか? そのデータは tvbuff_t から入手できますか?

bplistsに基づいており、かなり成功しているSafariリモートデバッグプロトコル用のディセクタを作成しようとしています（現在のコードはhttps://github.com/andydavies/bplist-dissectorにあります）。

しかし、私はパケットを再組み立てするのに苦労しています。

通常、プロトコルは次のパケットの長さを含む4バイトのパケットを送信し、次にbplistを含むパケットを送信します。

残念ながら、iOSシミュレータからの一部のパケットはこの規則に従わず、4バイトがbplistパケットの先頭、または前のbplistパケットの末尾にタグ付けされているか、データが複数のbplistです。

次のように使用desegment_lenして、それらを再組み立てしてみました。desegment_offset

私がここでやろうとしているのは、常にサイズバイトをパケットの最初の4バイトに強制的に分析することですが、それでも機能しません。4バイトのパケットの後にxバイトのパケットが続きます。

前面の余分な4バイトを管理する他の方法を考えることもできますが、プロトコルにはパケットの終わりから32バイトのルックアップテーブルが含まれているため、パケットをbplistに正確に接続する方法が必要です。

キャップの例を次に示します。http ： //www.cloudshark.org/captures/2a826ee6045b＃338は、bplistサイズがデータの先頭にあり、データに複数のplistがあるパケットの例です。

私はこれを正しく行っていますか（SOに関する他の質問、および私がそうであるように見えるWebの周りの例を見て）、またはより良い方法がありますか？

WireShark フレームワーク用に独自のプラグイン (ディセクタ) を作成しました。現在、プラグインと一緒に構築した WireShark で動作しています。しかし、これらの dll ファイルを、インストールされている WireShark のプラグイン ディレクトリに配置すると、ロードできません。メッセージが表示されます：

この後、おそらくもう少し詳細なメッセージが表示されます。

WireShark とプラグインを MSVC2008EE でコンパイルしました。プラグインのコンパイラ バージョンと Web からの WireShark の違いが原因でエラーが発生しますか? 私がビルドした WireShark (MSVC2008EE も使用) を使用すると、すべて正常に動作するためです。

よろしくビョルン

PLUGIN という名前の Wireshark ディセクタを作成しました。

これをテストしていると、何らかの理由でタイプ X のパケットが Wireshark で PLUGIN として表示され (本来あるべきように)、その後、同じタイプ X の他のパケットが PLUGIN として表示されません。

他のパケットは、.pcap で次のように見つけることができます。[TCP segment of a reassembled PDU]

問題は、WireShark がタイプ X の最初のパケットのようにタイプ X の他のパケットを分析せず、それを PLUGIN として表示しないのはなぜですか?

初回のみ解剖が効くのはなぜ？

細断されたパケットのフラグメントを組み立てる関数を使用します。

「9.4.2. 分割された TCP パケットの再構成方法」に記載

" http://www.wireshark.org/docs/wsdg_html_chunked/ChDissectReassemble.html#TcpDissectPdus"で

これは解剖の機能です: (FRAME_HEADER_LEN = 8)

詳しくは：

1. file.pcap を 16 進エディタで開いたところ、wireshark が分析していないパケットが表示されました...

2. Wireshark 内で、「[再構成された PDU の TCP セグメント]」という情報で、wireshark が分析しないパケットを見つけることができますが、どの再構成パケットに属しているかはわかりません。どこでも...

私は解剖学者を書きました、

その中にいくつかの異なる/無関心なメッセージを含む1つのパケットを見つけました、

誰かが問題を指摘できますか？これも問題ですか？

TCPパケットを再構成します...

これは解剖の機能です： （FRAME_HEADER_LEN = 8）

私は IP パッケージを分析できるツールを開発していますが、IP パッケージの全長が 1500 を超えると、wireshark が未加工データ ファイルの長さを 0 として表示することがわかりました。![wireshark スナップショット][wirshark スナップショット]

all：
Wiresharkに適したRedisディセクタはありますか？私はこれを使用しました：https ：//github.com/jzwinck/redis-wireshark 、しかしそれは解剖のいくつかのエラーのようです。
よろしくお願いします！

.pkt スニファ キャプチャがあります。C アプリケーションからキャプチャ内のすべてのパケットを読み取ると、無線ヘッダーが追加されていることがわかります。無線ヘッダーには、すべてのパケットのエポック時間が含まれています。ミリ秒単位で 2 つのパケット間の時間差を調べたいと思います。2 つのエポック値を比較してミリ秒単位の時間差を見つける方法がわかりません。これで私を助けてください。

私たちのチームは現在、特定のタイプのパケットを分析する Wireshark 分析ツールの構築に取り組んでいます。テンプレートに基づいてパケットを作成しました。

ビルドするプラグインの名前が ABC だとします。ここでの目標は、wireshark のフィルター ボックスに ABC と入力するたびに、送信したパケットを表示 (キャプチャ) することです。

画像でわかるように、ip.destination でフィルタリングすると、wireshark はこれらが目的のパケットであることを認識します。現在のタスクは、プラグイン名 ABC を入力したときに同じ結果が必要になることです。

質問が明確でない場合はお詫び申し上げます。私たちは始めたばかりで、まだ初期段階にあります。ヒントや提案は大歓迎です！