次のコマンドを使用して、Wireshark ダンプから XML 形式の出力を生成しています。
tshark -r my_wireshark_data.pcap -T pdml > my_wireshark_data.xml
生成されたXMLファイルを見ると、位置そしてサイズどこにでも現れる属性です。説明してくれる人、またはドキュメントへのリンクを提供してくれる人はいますか?
出力スニペット:
<pdml version="0" creator="wireshark/1.10.14" time="Mon Jun 20 15:27:45 2016" capture_file="my_wireshark_data.pcap">
<packet>
<proto name="ip" ...>
<field name="ip.version" showname="Version: 4" size="1" pos="14" show="4" value="45"/>
</proto>
</pdml>
また:
なぜ価値45の代わりにを設定しますか4?
違いは何ですか表示名そして見せる?
答え1
誰か説明したり、ドキュメントへのリンクを提供したりできますか?
なぜ値が 4 ではなく 45 に設定されているのですか。
value(45)は、このフィールドがカバーする実際のパケットデータ(16進数)である。show(4)はパケットデータの表現である(value)表示フィルターに表示されるものと同じです。
showname と show の違いは何ですか?
shownameプロトコル ツリーでこのフィールドを説明するために使用されるラベルです。これは通常、プロトコルの説明的な名前であり、その後に の表現が続きます
value。show(4)はパケットデータの表現である(value)表示フィルターに表示されるものと同じです。(この場合はバージョン番号)
「
<field>」タグ"
<field>" タグには次の属性を設定できます。
name- フィールドの表示フィルタ名showname- プロトコル ツリーでこのフィールドを説明するために使用されるラベル。これは通常、プロトコルの説明的な名前であり、その後に値の表現が続きます。pos- このフィールドが始まるパケットデータ内の開始オフセットsize- このフィールドがカバーするパケット データ内のオクテットの数。value- このフィールドがカバーする実際のパケットデータ(16進数)show- 表示フィルターに表示されるパケット データ ('値') の表現。一部のディセクタは、フィールド名を持つフィールドを使用せずに、プロトコル ツリーにテキストを配置することがあります。これらは、PDML では「
<field>name」属性を持たない「」タグとして表示されますが、そのテキストを示す「show」属性を持ちます。