![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
wireshark linux工具使用
文章平均质量分 83
强壮的向阳花
这个作者很懒,什么都没留下…
展开
-
Wireshark - tshark支持iptables提供数据包
cf_init_iptables接口完成初始化工作,cf是全局的数据,数据包信息,数据包状态相关,比如处理多少,丢掉多少,提供的解码工具等外来数据。其中第一个条件if (cf_name)这里是读文件的形式,使用是通过-r *.pcap判断的,第二个else位置,里面是capture用来监听网口通过-I eth0使用。//绑定上我们创建的队列。running_get_pkt_from_nfqueue0接口完成iptables初始化,创建接收队列数据包的回调,将数据包接入到tshrak的解密解码逻辑。原创 2024-07-01 17:56:49 · 663 阅读 · 0 评论 -
wireshark源码分析 是怎么完成协议识别的
在wireshark中,他所有的协议相关操作,都是通过一个全局变量处理的,变量的内容就是一个关于接口描述和接口回调的成员。通过process_packet_single_pass处理单个数据包,每层数据包都会使用decode_udp(tcp)_ports识别协议,这里面提供端口和特征识别;很简单,对比其他工具特征识别逻辑(比如suricata的hyperscan),wireshark针对特征识别真的很简单。关于特征识别,wireshark是不太注重的,因为其使用场景多为协议分析,读取文件的形式。原创 2024-06-05 15:29:09 · 435 阅读 · 0 评论 -
wireshark-cli工具Tshark工具使用教程
tshark为wireshark工具的命令行版本呢, 在服务器版本服务器上,通过tshark工具可以实现和wireshark相同的功能。工具使用wireshark默认配置,对于wireshark一些常用的首选项,也可通过tshark -o [key:value]修改。dumpcap子进程负责数据包捕获并将数据包写入文件,tshark进程负责将文件中的数据包读取后并解密打印到终端。包长度,数量偏移,一些命令,包括pcap文件名称。根据管道返回的文件创建文件的描述符。tshark进程拥有的描述符。原创 2024-05-06 10:49:49 · 439 阅读 · 1 评论