Linux tcpdump,十六進制(hex)報文直接轉wireshark格式包(docsis鏈路層)

1. 適用條件

適用于難把tcpdump文件從linux設備中抓下來,可以通過遠程獲得十六進制報文,直接轉為wireshark格式。

2. 簡略過程

  1. tcpdump -xx -tt 直接把報文用十六進制打印出來
  2. 將報文導入軟件TextToWiresharkFormat-v2.0.exe,轉為wireshark報文
  3. 對于看DOCSIS 層的包,減去報頭。editcap -C 44 capture.pcap capture_1.pcap

3. 具體操作

  1. tcpdump -xx -tt
    a. 如果是實時抓包,加端口抓,最后加-xx -tt限定抓取方式。以下的操作會直接把十六進制報文打印出來。
    Server#tcpdump -i any udp port 51920 -xx -tt
    b. 如果是抓取文件,可以把文件dump出來。
Server# tcpdump -r zlm.out -xx -tt
reading from file zlm.out, link-type LINUX_SLL (Linux cooked)
1521155373.167889 IP module12.58610 > smm.51919: UDP, length 73
    0x0000:  0000 0001 0006 0000 ca5a 1c0d 0000 0800
    0x0010:  4500 0065 0000 4000 4011 3b72 7f01 000d
    0x0020:  7f01 0107 e4f2 cacf 0051 babc 0000 0040
    0x0030:  0000 0000 ffff ffff ffff 5085 699c 7d20
    0x0040:  0806 0001 0800 0604 0001 5085 699c 7d20
    0x0050:  ac10 022c 0000 0000 0000 ac10 0001 0000
    0x0060:  0000 0000 0000 0000 0000 0000 0000 0000
    0x0070:  6eed 39aa 0e
1521155375.214598 IP module12.58610 > smm.51919: UDP, length 73
    0x0000:  0000 0001 0006 0000 ca5a 1c0d 0000 0800
    0x0010:  4500 0065 0000 4000 4011 3b72 7f01 000d
    0x0020:  7f01 0107 e4f2 cacf 0051 bbbc 0000 0040
    0x0030:  0000 0000 ffff ffff ffff 5085 699c 7d20
    0x0040:  0806 0001 0800 0604 0001 5085 699c 7d20
    0x0050:  ac10 022c 0000 0000 0000 ac10 0001 0000
    0x0060:  0000 0000 0000 0000 0000 0000 0000 0000
    0x0070:  6eed 39aa 0d
  1. 把這些十六進制(hex)報文放到轉換軟件中,直接轉為.pcap(適用wireshark)格式的新文件。
software.txt
zlm.pacp
  1. 視情況,這里要看docsis鏈路層的報文,需要用wireshark自帶的軟件editcap去掉包頭。
    a. 如果你不知道它裝在哪/有沒裝,可以用everything找出路徑。
    path

    b. windows操作系統(tǒng),以管理員模式打開cmd,進入以上的路徑。把之前轉的文件放到editcap相同路徑,然后在cmd敲以下代碼,editcap -C 44 zlm.pcap zlm-c.pcap
admin-mode

cmd
  1. 打開wireshark,注意treat all packets as docsis frame
wireshark
最后編輯于
?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
【社區(qū)內容提示】社區(qū)部分內容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發(fā)布,文章內容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關閱讀更多精彩內容

  • 簡介 用簡單的話來定義tcpdump,就是:dump the traffic on a network,根據(jù)使用者...
    保川閱讀 6,082評論 1 13
  • 聊聊 tcpdump 與 Wireshark 抓包分析 1 起因 前段時間,一直在調線上的一個問題:線上應用接受P...
    meng_philip123閱讀 21,826評論 4 36
  • 3.1. 介紹 現(xiàn)在,您已經安裝了Wireshark并有可能熱衷于開始捕捉您的第一個數(shù)據(jù)包。在接下來的章節(jié)中,我們...
    wwyyzz閱讀 1,493評論 0 1
  • 時光匆匆 這美妙的景色, 可以持續(xù)多久。 潺潺的流水, 茁壯如茵的草叢, 爭妍斗艷的花朵, 不總是有一天會消失的嗎...
    安梓瑜吖閱讀 221評論 0 0
  • 我養(yǎng)了三十幾年的觀賞魚,魚有病時,也會經常下鹽。而且本人比較懶,從來不會去為魚單獨買什么大粒鹽,就是家用的加碘鹽,...
    淘淘2008閱讀 3,826評論 0 1

友情鏈接更多精彩內容