Описание атрибутов Wireshark/PCAP XML

Question

Описание атрибутов Wireshark/PCAP XML

Я генерирую вывод в формате XML из дампа Wireshark с помощью следующей команды:

tshark -r my_wireshark_data.pcap -T pdml > my_wireshark_data.xml

Глядя на сгенерированный файл XML, я не могу понять значение атрибутов pos и size, которые встречаются повсюду. Может кто-нибудь объяснить или предоставить ссылку на документацию?

Выходной фрагмент:

<pdml version="0" creator="wireshark/1.10.14" time="Mon Jun 20 15:27:45 2016" capture_file="my_wireshark_data.pcap">
<packet>
  <proto name="ip" ...>
    <field name="ip.version" showname="Version: 4" size="1" pos="14" show="4" value="45"/>
  </proto>
</pdml>

Также:

Почему значение установлено в 45 вместо 4?

В чем разница между показанным и показанным?

1

wireshark xml pcap

Источник

atreyu 21 июн '16 в 14:16

1 ответ

Решение

Другие вопросы по тегам wireshark xml pcap

DavidPostill 21 июн '16 в 14:32 2016-06-21 14:32 · Accepted Answer · 2016-06-21 14:32

Может кто-нибудь объяснить или предоставить ссылку на документацию?

Почему значение установлено на 45 вместо 4.

value (45) - это фактические данные пакета в шестнадцатеричном виде, которые охватывает это поле.
show (4) является представлением пакетных данных (value), как это будет отображаться в фильтре дисплея.

В чем разница между показанным и показанным?

showname является меткой, используемой для описания этого поля в дереве протокола.
Обычно это описательное имя протокола, за которым следует некоторое представление value,
show (4) является представлением пакетных данных (value), как это будет отображаться в фильтре дисплея. (в этом случае номер версии)

" <field> " тег
" <field> Теги могут иметь следующие атрибуты:
name - отображать имя фильтра для поля
showname - метка, используемая для описания этого поля в дереве протокола. Обычно это описательное имя протокола, за которым следует некоторое представление значения.
pos - начальное смещение в данных пакета, где начинается это поле
size - количество октетов в пакетных данных, охватываемых этим полем.
value - фактические данные пакета в шестнадцатеричном виде, которые охватывает это поле
show - представление пакетных данных ("значение") так, как оно будет отображаться в фильтре отображения.
Некоторые диссекторы иногда помещают текст в дерево протокола, не используя поле с именем поля. Те появляются в PDML как " <field> "теги без атрибута 'name', но с атрибутом 'show', дающим этот текст.

Рассмотрение исходного протокола в формате XML