gpt4 book ai didi

Android Shark (tcpdump) 创建无效的 pcap

转载 作者:行者123 更新时间:2023-11-29 20:30:57 27 4
gpt4 key购买 nike

出于某些目的,我正在运行 Shark,这是一个适用于 Android 的 tcpdump 工具。我在两个 Android 设备上运行它,获取捕获文件,然后打算在其上运行一些统计信息。一台平板电脑,一部手机。它们分别运行 Android 4.2.2 和 4.3。两个设备的捕获都使用标志 -vv -s 0 运行。我当然尝试过重新安装。

查看 Wireshark 中的数据,手机数据正常,但平板电脑数据无法正确读取(无法识别任何协议(protocol)或任何内容。)。

我尝试在文件上使用 pcapfix,但 pcapfix 说文件没问题。但我无法在 scapy、dpkt(用于读取网络流量的 python 库,只会将每个数据包放入“其他”,被读取为“原始”)或 wireshark 中读取它。

有人知道我做错了什么,或者如何修复文件吗?

Capture file for phone (working)
capture file for tablet (broken)

数据来自移动流量(无 wifi)。手机使用 LTE/WCDMA/GSM,而平板电脑使用 WCDMA/GSM。我将尝试看看是否会导致它,但要到明天才会出现。

最佳答案

引用 libpcap 中的提交评论来解决我对这个特定的 ****up 的尝试:

For various annoying reasons having to do with DHCP software, some
versions of Android give the mobile-phone-network interface an ARPHRD_
value of ARPHRD_ETHER, even though the packet supplied by that interface
have no link-layer header, and begin with an IP header, so that the
ARPHRD_ value should be ARPHRD_NONE.

这意味着这些捕获的 pcap 文件具有错误的链接层 header 类型。

如果你有 Wireshark,你就有 editcap;做

editcap -T rawip -F pcap shark_dump_tablet.pcap shark_dump_tablet_fixed.pcap

这将读取 shark_dump_tablet.pcap 的所有数据包并将它们写入名为 shark_dump_tablet_fixed.pcap 的新 pcap 文件,但链路层 header 类型为文件头中的“原始 IP”,而不是“以太网”。您应该能够读取生成的文件。

关于Android Shark (tcpdump) 创建无效的 pcap,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31989223/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com