Erläuterung der Wireshark/PCAP XML-Attribute

Question

Kann das jemand erklären oder einen Link zur Dokumentation bereitstellen?

Warum ist der Wert auf 45 statt auf 4 eingestellt?

value(45) sind die tatsächlichen Paketdaten in Hexadezimalformat, die dieses Feld abdeckt
show(4) ist die Darstellung der Paketdaten ( value)wie es in einem Anzeigefilter erscheinen würde.

Was ist der Unterschied zwischen Showname und Show?

shownameist die Bezeichnung, die zur Beschreibung dieses Felds im Protokollbaum verwendet wird.

Dies ist normalerweise der beschreibende Name des Protokolls, gefolgt von einer Darstellung des value.
show(4) ist die Darstellung der Paketdaten ( value)wie es in einem Anzeigefilter erscheinen würde.(in diesem Fall die Versionsnummer)

Das " <field>"-Tag

" <field>"-Tags können die folgenden Attribute haben:

name- der Anzeigefiltername für das Feld

showname- die Bezeichnung, die zur Beschreibung dieses Felds im Protokollbaum verwendet wird. Dies ist normalerweise der beschreibende Name des Protokolls, gefolgt von einer Darstellung des Werts.

pos- der Start-Offset innerhalb der Paketdaten, bei dem dieses Feld beginnt

size– die Anzahl der Oktette in den Paketdaten, die dieses Feld abdeckt.

value- die tatsächlichen Paketdaten in Hex, die dieses Feld abdeckt

show- die Darstellung der Paketdaten („Wert“), wie sie in einem Anzeigefilter erscheinen würden.

Einige Dissektoren platzieren manchmal Text im Protokollbaum, ohne ein Feld mit einem Feldnamen zu verwenden. Diese erscheinen in PDML als " <field>"-Tags ohne 'name'-Attribut, aber mit einem 'show'-Attribut, das diesen Text angibt.

QuelleProtokolldissektion im XML-Format

Answer 1

Kann das jemand erklären oder einen Link zur Dokumentation bereitstellen?

Warum ist der Wert auf 45 statt auf 4 eingestellt?

value(45) sind die tatsächlichen Paketdaten in Hexadezimalformat, die dieses Feld abdeckt
show(4) ist die Darstellung der Paketdaten ( value)wie es in einem Anzeigefilter erscheinen würde.

Was ist der Unterschied zwischen Showname und Show?

shownameist die Bezeichnung, die zur Beschreibung dieses Felds im Protokollbaum verwendet wird.

Dies ist normalerweise der beschreibende Name des Protokolls, gefolgt von einer Darstellung des value.
show(4) ist die Darstellung der Paketdaten ( value)wie es in einem Anzeigefilter erscheinen würde.(in diesem Fall die Versionsnummer)

Das " <field>"-Tag

" <field>"-Tags können die folgenden Attribute haben:

name- der Anzeigefiltername für das Feld

showname- die Bezeichnung, die zur Beschreibung dieses Felds im Protokollbaum verwendet wird. Dies ist normalerweise der beschreibende Name des Protokolls, gefolgt von einer Darstellung des Werts.

pos- der Start-Offset innerhalb der Paketdaten, bei dem dieses Feld beginnt

size– die Anzahl der Oktette in den Paketdaten, die dieses Feld abdeckt.

value- die tatsächlichen Paketdaten in Hex, die dieses Feld abdeckt

show- die Darstellung der Paketdaten („Wert“), wie sie in einem Anzeigefilter erscheinen würden.

Einige Dissektoren platzieren manchmal Text im Protokollbaum, ohne ein Feld mit einem Feldnamen zu verwenden. Diese erscheinen in PDML als " <field>"-Tags ohne 'name'-Attribut, aber mit einem 'show'-Attribut, das diesen Text angibt.

QuelleProtokolldissektion im XML-Format

Erläuterung der Wireshark/PCAP XML-Attribute

Antwort1

Kann das jemand erklären oder einen Link zur Dokumentation bereitstellen?

verwandte Informationen