Capturé los paquetes modbus y quiero saber cómo puedo mostrar mis datos en mis columnas para exportarlos como archivo csv más adelante. Adjunto imagen del tipo de datos que quiero mostrar y exportar
Respuesta1
Para cada campo que desee agregar como columna, la forma más sencilla es seleccionar primero el campo, digamos el"Código de función"como ejemplo. Cuando lo seleccione, notará que la línea de estado en la parte inferior de la ventana de Wireshark le mostrará cuál es el filtro de visualización de Wireshark para ese campo y, en este ejemplo, será modbus.func_code. Esta es una forma de conocer el filtro de visualización para un campo determinado.
Ahora, si hace clic derecho en el campo, puede elegirAplicar como columna. El campo se agregará como una nueva columna. Una vez agregado, puede arrastrar y soltar el campo en cualquier ubicación de columna deseada. También puede agregar columnas a través del menú principal, pero si las agrega de esta manera, deberá conocer el nombre del filtro de visualización de Wireshark para poder escribirlo al agregarlo, lo cual puede hacer de la siguiente manera:Editar -> Preferencias -> Columnas -> + -> [Haga doble clic en el título predeterminado Nueva columna y cámbiele el nombre, haga doble clic en el tipo de Número predeterminado y elija Personalizado, haga doble clic en Campos y escriba el filtro de visualización, por ejemplo, modbus. código_función].
Si no conoce el nombre del filtro de visualización, puede buscarlo al menos de tres formas diferentes:
- El tiburón alambreReferencia de filtro de visualizaciónLa página enumera todos los filtros de visualización y a qué versiones de Wireshark se aplica cada filtro de visualización.
- Desde la GUI de Wireshark: Editar ->Ver -> Componentes internos -> Protocolos admitidos -> Modbus -> [Expandir]
- También puedes usar
tsharkpara mostrarlos, por ejemplo:
En Windows:
tshark -G fields | findstr "modbus\."
En *nix:
tshark -G fields | grep "modbus\."
Puedes repetir este proceso para tantos campos como desees. Antes de agregar campos específicos de Modbus a las columnas, puede que valga la pena crear primero una nueva"Modbus"perfil para que esos campos solo se muestren como columnas cuando esté examinando paquetes modbus. Agregue un nuevo perfil haciendo clic derecho en el perfil en la esquina inferior derecha de la barra de estado y elijaNuevooAdministrar perfiles. También puedes agregar un nuevo perfil a través del menú principal:Editar -> Perfiles de configuración.
Mencioné tsharkanteriormente; es el equivalente en línea de comandos de Wireshark y le permite imprimir solo los campos que desee, luego puede redirigir esa salida a un archivo de texto que luego puede importarse a otros programas para su posterior procesamiento. Un ejemplo:
tshark -r file.pcap -Y "modbus" -T fields -E separator=/t -e frame.number -e modbus.func_code -e modbus.byte_cnt > file.txt
tsharktiene muchas opciones, así que asegúrese de leer la página de manual para comprender mejor cómo usarlo.
Si no está utilizando tshark, exporte los datos desde la GUI de Wireshark usando:Archivo -> Exportar disecciones de paquetes -> Como CSV... -> [Seleccione/anule la selección de las opciones deseadas, elija un nombre de archivo y haga clic en Guardar].
Finalmente, el WiresharkGuía del usuarioTambién es una gran referencia.