个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我使用 Pyshark,它使用 tshark 来解码 pcap 文件,但我在使用“decode_as”选项时遇到了问题。我正在尝试将特定的 UDP 端口解码为 SOMEIP 协议(protocol)。这是我添加的解剖器,取自 here .
重要的是要说解析器和“decode_as”选项在 Wireshark 中都能完美工作。
这是我使用的代码:
import pyshark
packets=pyshark.FileCapture(pcap_path, display_filter="udp")
packets.next() # Works fine
packets=pyshark.FileCapture(pcap_path, display_filter="udp", decode_as={"udp.port==50000":"someip"})
packets.next() # doesn't return a packet
还有一个被忽略的异常:
Exception ignored in: <function Capture.__del__ at 0x000001D9CE035268>
Traceback (most recent call last):
File "C:\Users\SHIRM\AppData\Local\Continuum\anaconda3\lib\site-packages\pyshark\capture\capture.py", line 412, in __del__
self.close()
File "C:\Users\SHIRM\AppData\Local\Continuum\anaconda3\lib\site-packages\pyshark\capture\capture.py", line 403, in close
self.eventloop.run_until_complete(self._close_async())
File "C:\Users\SHIRM\AppData\Local\Continuum\anaconda3\lib\asyncio\base_events.py", line 573, in run_until_complete
return future.result()
File "C:\Users\SHIRM\AppData\Local\Continuum\anaconda3\lib\site-packages\pyshark\capture\capture.py", line 407, in _close_async
await self._cleanup_subprocess(process)
File "C:\Users\SHIRM\AppData\Local\Continuum\anaconda3\lib\site-packages\pyshark\capture\capture.py", line 400, in _cleanup_subprocess
% process.returncode)
pyshark.capture.capture.TSharkCrashException: TShark seems to have crashed (retcode: 1). Try rerunning in debug mode [ capture_obj.set_debug() ] or try updating tshark.
按照它的建议,我使用 Debug模式 (packets.set_debug()),运行后我得到:
tshark: Protocol "someip" isn't valid for layer type "udp.port"
tshark: Valid protocols for layer type "udp.port" are:
....
然后是一长串协议(protocol),“someip”不在...(但我添加的另一个解剖器是 dll)
知道这里出了什么问题吗?是解剖器导致了问题,还是我做错了什么?
同样,在 Wireshark 中手动完成时,“解码为”工作正常。 
谢谢!
编辑
我在 Wireshark 代码中找到了导致此错误的部分: 
所以我阅读了有关解析器表的内容,似乎应该没有问题,因为解析器 lua 代码确实将“someip”添加到“udp.port”的解析器表中:
local udp_dissector_table = DissectorTable.get("udp.port")
-- Register dissector to multiple ports
for i,port in ipairs{30490,30491,30501,30502,30503,30504} do
udp_dissector_table:add(port,p_someip)
tcp_dissector_table:add(port,p_someip)
end
我还尝试使用 dissectortable:add_for_decode_as(proto) 函数(在 11.6.2.11 here 中描述):
udp_dissector_table:add_for_decode_as(p_someip)
但是没有成功:(
任何想法将不胜感激,谢谢
最佳答案
尽管这是一个老问题:
我用我的 pcap 试过它有效。所以 3 个建议:
有一个错误,现在已修复 - 那么它现在应该也适用于您
udp端口错误。我有一个不同的 (30490),如果这个错了,包裹将是空的。请尝试使用 50001,因为此端口显示在您的屏幕截图中
pcap有一些问题,这种情况下换一个试试。
希望对您有所帮助!
关于python - Pyshark - tshark 无法在 'decode_as' 中使用用户插件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55457419/
25
4
0
我正在尝试扩展 tshark 的输出。第一轮我还没有找到简单的解决方案,只有那个可以通过 -e 选项提取字段,因此以下命令输出 车架号 从捕获开始的时间 源IP地址 目的IP地址 http 请求 ur
我已经尝试了很多来列出 ip conversations在 .cap file with Tshark 。我可以使用 *wireshark -> statistics -> conversations
我需要在满足某个条件后停止 tshark(wireshark 的命令行等价物)。 从 tshark 手册页中,我发现停止条件可以应用于持续时间、文件、文件大小和多文件模式。 是否可以通过捕获过滤器应用
tshark 中的过滤器 -Y、-2 和 -R 在 Wireshark 版本 2.XX 中容易混淆。 在 1.8 版本中,我们可以应用多个过滤器并使用以下命令将过滤后的数据包保存在 csv 文件中:
因为使用 tshark 保存捕获的数据时不支持显示过滤器 我正在尝试创建可以在 Wireshark 中读取的有效 cap 文件。 我用 tshark -i wlan2 -V -x -q -Y "rad
我正在尝试使用 python 脚本在两台主机之间捕获数据包。功能如下: def wire_cap(IP1,IP2,op_fold,file_name,duration): # invoke tsha
是否可以使用 tshark 选项或类似选项获取每个字段(在数据包内)的 -T fields 输出? 例如对于数据包/重建中的每个字段,我想要这样的东西: eth.src:f2:3c:91:96:fd:
我正在使用 TShark 命令行来开始新的捕获。如果我使用此命令 tshark.exe -w C:\test.pcap -i (my interface number) 我将捕获保存在我的硬盘上,这是
使用 tshark,我如何让它解码并显示应用层? 例如,我可以使用以下方法捕获和解码 snmp 流量: sudo tshark -V -i lo -d udp.port==161,snmp 这将解码所
我正在尝试使用类似这样的 CLI 使用 tshark 捕获流量: tshark -i 1 -w Outputfile.pcap 如果我执行此命令,提示不会返回,因为 tshark 会为我提供有关数据包
我正在尝试使用带有一些标志的 tshark,并为每个过滤的跟踪获取时间戳。我正在使用它来过滤系统中的所有 DNS 查询。我无法获得时间戳以及过滤器工作。例如,如果我尝试类似 tshark -t ad
我正在尝试将 tshark 转储中的网络流量归因于与相应流量相关联的登录用户。 我在企业网络上运行 Ubuntu 服务器,用户通过 RDP 或 SSH 使用 x-forwarding 登录。我的应用程
我试图只捕获包含对某个 API 端点的请求的数据包,因此尝试使用以下内容进行过滤: tshark -i 2 -f 'port 80' -T pdml http.request.uri contain
今年 2 月 15 日,TShark 增加了为 Elasticsearch 生成映射文件的支持,选项为 -G elastic-mapping。 .问题是我已经尝试过了,但是当您尝试 PUT 时 Ela
现在我正在使用 tshark -i wlan0 -c 10 -T fields -e ip.src -e ip.dst -e ip.proto -e tcp.srcport -e tcp.dstpor
我想将 tshark 命令的输出保存在变量中。 例如,如果我运行: tshark -r capture.pcap -qz io,stat,0 我会得到: Time |frames
已结束。此问题正在寻求书籍、工具、软件库等的推荐。它不满足Stack Overflow guidelines 。目前不接受答案。 我们不允许提出寻求书籍、工具、软件库等推荐的问题。您可以编辑问题,以便
所以我的命令是: tshark -Y 'wlan.fc.type_subtype==0x04' 所以我的输出是: 21401 205.735966 Apple_90:ea:8e -> Broadcas
我有一个相当大的 Pcap 文件。我只想读取这个文件中的一个数据包,例如第10个数据包。 我有一个像这样的 tshark 命令: tshark -r myfile.pcap frame.number
Tshark 是一个命令行数据包嗅探器。我正在尝试找到一种方法来从数据包中获取信息,将其放入变量中并对其执行一些正则表达式。 现在,我从 tshark 得到这个: Capturing on eth0
我是一名优秀的程序员,十分优秀!