我使用以下命令從 Wireshark 轉儲產生 XML 格式的輸出:
tshark -r my_wireshark_data.pcap -T pdml > my_wireshark_data.xml
查看生成的 XML 文件,我無法弄清楚其中的含義位置和尺寸屬性,隨處可見。誰能解釋一下,或提供文件連結?
輸出片段:
<pdml version="0" creator="wireshark/1.10.14" time="Mon Jun 20 15:27:45 2016" capture_file="my_wireshark_data.pcap">
<packet>
<proto name="ip" ...>
<field name="ip.version" showname="Version: 4" size="1" pos="14" show="4" value="45"/>
</proto>
</pdml>
也:
為什麼是價值設定為45而不是4?
有什麼區別節目名稱和展示?
答案1
誰能解釋一下,或提供文件連結?
為什麼值設定為 45 而不是 4。
value(45) 是此欄位涵蓋的實際資料包資料(十六進位)show(4) 是封包資料的表示 (value)就像它出現在顯示過濾器中一樣。
節目名稱和節目名稱有什麼不同?
showname是協定樹中用來描述該欄位的標籤。這通常是協議的描述性名稱,後跟
value.show(4) 是封包資料的表示 (value)就像它出現在顯示過濾器中一樣。(在本例中為版本號)
「
<field>」標籤「
<field>」標籤可以具有以下屬性:
name- 欄位的顯示過濾器名稱showname- 協定樹中用於描述該欄位的標籤。這通常是協議的描述性名稱,後面跟著一些值的表示形式。pos- 封包資料中該欄位開始的起始偏移量size- 此欄位涵蓋的資料包資料中的八位元位元組數。value- 此欄位涵蓋的實際資料包資料(以十六進位表示)show- 資料包資料(「值」)的表示,就像它出現在顯示過濾器中一樣。有些解析器有時會將文字放入協定樹中,而不使用帶有欄位名稱的欄位。這些在 PDML 中顯示為「
<field>」標籤,沒有「name」屬性,但具有給予該文字的「show」屬性。