Modbus 패킷을 캡처했는데 나중에 csv 파일로 내보내기 위해 내 열에 데이터를 표시하는 방법을 알고 싶습니다. 표시하고 내보내려는 데이터 종류의 이미지를 첨부합니다.
답변1
열로 추가하려는 각 필드에 대해 가장 쉬운 방법은 먼저 필드를 선택하는 것입니다."기능 코드"예로서. 이를 선택하면 Wireshark 창 하단의 상태 표시줄에 해당 필드에 대한 Wireshark 표시 필터가 무엇인지 표시되며, 이 예에서는 입니다 modbus.func_code. 이는 특정 필드에 대한 표시 필터를 학습하는 한 가지 방법입니다.
이제 필드를 마우스 오른쪽 버튼으로 클릭하면 다음을 선택할 수 있습니다.열로 적용. 해당 필드가 새 열로 추가됩니다. 추가한 후에는 필드를 원하는 열 위치로 끌어서 놓을 수 있습니다. 기본 메뉴를 통해 열을 추가할 수도 있지만 이 방법으로 추가하는 경우 추가할 때 입력하려면 Wireshark 디스플레이 필터 이름을 알아야 하며 다음과 같이 할 수 있습니다.편집 -> 기본 설정 -> 열 -> + -> [기본 새 열 제목을 두 번 클릭하고 이름을 바꾸고, 기본 숫자 유형을 두 번 클릭하고 사용자 정의를 선택한 다음, 필드 아래를 두 번 클릭하고 모드버스와 같은 표시 필터를 입력합니다. func_code].
표시 필터의 이름을 모르는 경우 최소한 3가지 다른 방법으로 검색할 수 있습니다.
- 와이어샤크표시 필터 참조페이지에는 모든 디스플레이 필터와 각 디스플레이 필터가 적용되는 Wireshark 버전이 나열되어 있습니다.
- Wireshark GUI에서: 편집 ->보기 -> 내부 -> 지원 프로토콜 -> Modbus -> [확장]
- 당신은 또한 사용할 수 있습니다
tshark예를 들어 다음과 같이 표시합니다.
Windows의 경우:
tshark -G fields | findstr "modbus\."
*nix에서:
tshark -G fields | grep "modbus\."
원하는 만큼 많은 필드에 대해 이 프로세스를 반복할 수 있습니다. Modbus 관련 필드를 열에 추가하기 전에 먼저 새 필드를 생성하는 것이 좋습니다."모드버스"프로필을 수정하면 Modbus 패킷을 검사할 때 해당 필드가 열로만 표시됩니다. 상태 표시줄의 오른쪽 하단에 있는 프로필을 마우스 오른쪽 버튼으로 클릭하고 다음을 선택하여 새 프로필을 추가하세요.새로운또는프로필 관리. 기본 메뉴를 통해 새 프로필을 추가할 수도 있습니다.편집 -> 구성 프로필.
tshark위에서 언급했습니다 . 이는 Wireshark와 동일한 명령줄이며 원하는 필드만 인쇄할 수 있으며 해당 출력을 텍스트 파일로 리디렉션할 수 있으며 추가 처리를 위해 다른 프로그램으로 가져올 수 있습니다. 예:
tshark -r file.pcap -Y "modbus" -T fields -E separator=/t -e frame.number -e modbus.func_code -e modbus.byte_cnt > file.txt
tshark많은 옵션이 있으므로 사용 방법을 더 잘 이해하려면 매뉴얼 페이지를 읽으십시오.
를 사용하지 않는 경우 tshark다음을 사용하여 Wireshark GUI에서 데이터를 내보냅니다.파일 -> 패킷 분석 내보내기 -> CSV로... -> [원하는 옵션을 선택/선택 취소하고 파일 이름을 선택한 후 저장을 클릭하세요.].
마지막으로 와이어샤크사용자 설명서또한 훌륭한 참고 자료입니다.